osquery 是 SQL 驅動的分析和監控操作系統的工具,是操作系統分析框架,支持 OS X 和 Linux 系統。osquery 能幫助監控和分析低水平的操作系統,提供更直觀的性能監控。4.0.1 版本內容如下:
新特性/改進:
Linux Audit Process_Events 實現了對 fork/vfork/clone/execveat 的支持
新的 SQLite 函數 regex_Match 用於跨列匹配
用於系統調用跟蹤的 LRU 緩存
Linux 下基於 eBPF 的基本跟蹤
基於 eBPF 的 Linux 環境下的實驗性 kill 和 setuid 系統調用跟蹤
新的事件處理(EV2)框架
MacOS 查詢包:檢測搜索的惡意軟體
MacOS 查詢包:檢測進程鍵盤事件
Build:
重構 CMake 構建
在 Linux 上重構從源代碼構建的第三方庫
為 CI/CD 添加 Azure 管道支持
添加 Buck 作為構建系統
使用 urllib2 自動處理 HTTP 301/302 重定向
更新 MSI 包以安裝到 Windows 上的 Program Files
Linux 自定義工具鏈集成
Harderning:
在 Linux 上使用 Full RELRO 鏈接二進位文件
修復 SQLite API 使用錯誤
修復 MacOS keychain_items 和 extended_attributes 表中的內存泄漏
修復 genLoggedInUser(Windows) 中的內存泄漏
修復以錯誤狀態退出的 osquery
修復了虛擬表實現中的各種潛在崩潰
增加線程套接字的 MaxRecvRetry 數量
此版本更新內容很多,詳情見更改日誌:https://github.com/osquery/osquery/releases/tag/4.0.1
[admin
]