jmpsec/osctrl-cli

osctrl 镜像文档

镜像概述

osctrl 是一个快速高效的 osquery 管理解决方案，它实现了 osquery 的 远程 API 作为 TLS 端点。该工具专为管理和监控运行 osquery 的系统而设计，提供集中化的配置分发、日志收集和查询执行能力，帮助用户高效管理 osquery 部署环境。

核心功能和特性

• 系统监控：实时监控所有运行 osquery 的系统状态，确保 osquery 服务正常运行。
• 配置分发：快速向目标系统分发 osquery 配置，支持动态更新配置策略。
• 日志收集：集中收集 osquery 生成的状态日志和查询结果日志，便于审计和问题排查。
• 按需查询：支持在目标系统上运行自定义的按需查询，满足临时数据采集需求。
• TLS 端点实现：通过实现 osquery 远程 API 作为 TLS 端点，确保与 osquery 客户端的安全通信。

使用场景和适用范围

osctrl 适用于需要集中管理多个运行 osquery 客户端的场景，主要包括：

• 企业 IT 环境：管理分布在不同部门或地理位置的 osquery 客户端，统一监控系统状态。
• 安全运维：通过收集 osquery 日志和运行按需查询，增强系统安全审计和威胁检测能力。
• 自动化配置管理：需要动态调整 osquery 配置策略，确保客户端配置一致性的场景。

使用方法和配置说明

基本部署

osctrl 作为 TLS 端点运行，需配置 TLS 证书以确保与 osquery 客户端的安全通信。以下是基本部署步骤：

1. 准备 TLS 证书：生成或获取 TLS 证书（包括服务器证书和私钥），用于加密通信。

2. 启动 osctrl 服务：

   bash
   docker run -d \
     --name osctrl \
     -p 443:443 \
     -v /path/to/tls/cert:/etc/osctrl/tls/cert.pem \
     -v /path/to/tls/key:/etc/osctrl/tls/key.pem \
     osctrl:latest
   

   （注：实际镜像名称可能需根据官方仓库调整，上述命令为示例格式）

配置 osquery 客户端

osquery 客户端需配置指向 osctrl 的 TLS 端点，修改 osquery 配置文件（如 osquery.conf）：

json
{
  "tls_server_certs": "/path/to/osctrl/cert.pem",
  "tls_hostname": "osctrl-server.example.com",
  "enroll_tls_endpoint": "/enroll",
  "config_tls_endpoint": "/config",
  "logger_tls_endpoint": "/log",
  "distributed_tls_read_endpoint": "/distributed/read",
  "distributed_tls_write_endpoint": "/distributed/write"
}

核心操作

• 监控系统状态：通过 osctrl 管理界面或 API 查看已连接的 osquery 客户端列表及状态。
• 分发配置：在 osctrl 中创建或更新配置策略，系统将自动推送到关联的 osquery 客户端。
• 收集日志：osctrl 自动接收并存储 osquery 客户端发送的状态日志和查询结果日志，可通过日志接口或管理界面查看。
• 运行按需查询：在 osctrl 中创建分布式查询任务，指定目标客户端后执行，结果将通过日志接口返回。

注意事项

• 确保 osctrl 服务的 TLS 证书配置正确，避免通信安全问题。
• 根据客户端数量和日志量调整 osctrl 服务的资源配置（如内存、存储）。
• 定期备份 osctrl 数据，防止配置和日志丢失。