- PVSM.RU - https://www.pvsm.ru -
Facebook выложил на гитхабе фреймворк OSquery [1], он осуществляет низкоуровневый мониторинг процессов в OS X и Linux и показывает их в виде SQL-таблиц по запросу. Такой способ работы по-своему удобен, ведь можно объединять разные таблицы.
Например, если мы хотим посмотреть названия, pid и порты всех процессов, которые прослушивают порты во всех интерфейсах, то составляем запросик
SELECT DISTINCT
process.name,
listening.port,
process.pid
FROM processes AS process
JOIN listening_ports AS listening
ON process.pid = listening.pid
WHERE listening.address = '0.0.0.0';
Или другой запрос, он выводит список всех демонов OS X, которые запускаются вместе с операционной системой и продолжают выполняться после этого. Возвращается название демона и путь к исполняемому файлу.
SELECT
name,
program || program_arguments AS executable
FROM launchd
WHERE
(run_at_load = 'true' AND keep_alive = 'true')
AND
(program != '' OR program_arguments != '');
Подобными запросами отслеживаются работающие процессы, загруженные модули ядра и сетевые соединения.
Новые SQL-таблицы для OSquery довольно просто сделать самому [2]. По желанию пополните общий каталог таблиц [3].
Автор: alizar
Источник [4]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/open-source/73406
Ссылки в тексте:
[1] OSquery: https://github.com/facebook/osquery
[2] сделать самому: https://github.com/facebook/osquery/wiki/creating-a-new-table
[3] общий каталог таблиц: https://github.com/facebook/osquery/tree/master/osquery/tables
[4] Источник: http://habrahabr.ru/post/242205/
Нажмите здесь для печати.