在最簡單的形式中，osquery 由運行在計算機上的守護進程和客戶端組成。守護進程根據(jù) osquery 配置文件收集有關主機的信息。配置文件告訴 osquery 要收集什么。數(shù)據(jù)存儲在該計算機本地的數(shù)據(jù)庫中。快速訪問此信息的最簡單方法是運行 osqueryi 二進制文件。這將打開一個簡單的命令行，您可以從中創(chuàng)建和運行簡單的 SQL 查詢以顯示有關系統(tǒng)的數(shù)據(jù)。

拿 osquery 來試駕是非常容易的。訪問 osquery.io 并下載適用于您想要的任何操作系統(tǒng)的軟件包。如果您運行 Windows，您將下載 osquery.msi 并運行它以將程序安裝到 c:Program Filesosquery。打開終端提示符，導航到該文件夾??并運行 osqueryi.exe 以使用默認配置啟動 osquery。使用此默認配置，您可以立即查詢有關您系統(tǒng)的有趣數(shù)據(jù)，并讓您了解它的功能，然后您可以擴展您的部署，使其最適合您的環(huán)境或組織。

在最基本的狀態(tài)下，您可以使用基本的 SQL 語法以交互方式查詢主機。例如，要顯示 Windows 計算機上正在運行的服務的名稱，請運行查詢：

osquery> SELECT display_name FROM services WHERE status='RUNNING';

Osquery 將相似的查詢組組織成包。默認安裝中包含的包示例包括硬件監(jiān)控、it-compliance 和 osquery-monitoring。安全特定包還包括查詢，讓您可以搜索 Windows 和 Mac 攻擊以及 Windows 強化。這些查詢利用了操作系統(tǒng)的特定功能。例如，Windows 強化包包括在注冊表中查找可能導致安全性較低的配置的特定值的查詢。

Osquery 是一個可以詢問有關它正在監(jiān)控的系統(tǒng)的各種問題的地方。例如，您可以查詢已安裝的補丁：

osquery>SELECT * from patches;

或者找出系統(tǒng)的默認網(wǎng)關：

osquery> SELECT * from routes WHERE

作為另一個示例，要查看 Windows 計算機的所有啟動項，只需運行查詢：

osquery> SELECT * FROM startup_items;

返回的信息包括項目的名稱、其位置的路徑、項目在哪個用戶下運行以及如何通過注冊表或啟動文件夾調(diào)用項目。

可以肯定的是，這些都是非常基本的查詢，而 osquery 的真正力量在于將這些數(shù)據(jù)的收集集成到其他工具和自動化中。例如，如果某個程序在特權帳戶下啟動，您可以設置警報。

如果您不確定可以查詢什么，請鍵入：

osquery>.table

要查看 osquery 創(chuàng)建的表的列表，請運行以下命令：

osquery>.schema

獲取可在查詢中使用的字段列表。

Osquery 很流行，您會找到很多關于如何使用該工具和創(chuàng)建非常有用的查詢的在線資源和教程。

Osquery 得益于強大的開源社區(qū)的貢獻。可以安裝或部署多個社區(qū)項目以擴展 osquery 對您的安裝的價值。例如，許多系統(tǒng)管理員選擇在他們所有的服務器上部署 osquery，并部署一個控制服務器來管理這批 osquery 安裝。這個控制服務器可以讓你集中查詢來自幾個不同系統(tǒng)的數(shù)據(jù)，以及管理各個 osquery 代理的操作。總而言之，osquery 靈活且可擴展，是系統(tǒng)管理員工具箱的絕佳工具。