Osquery: SQLベースのオペレーティングシステム計測・監視・分析ツールのオープンソース

• SQLを使って、デバイスに関する情報をデータベースのようにクエリできるようにするツール
• 各テーブルは、実行中のプロセス、読み込まれたカーネルモジュール、開かれているネットワーク接続、ブラウザプラグイン、ハードウェアイベントなどの情報を表す
• Windows、macOS、CentOS、そして2011年以降にリリースされたほぼすべてのLinux OSをサポート
• 使用例

SELECT * FROM users;  
  
SELECT * FROM processes WHERE on_disk = 0;  
  
SELECT DISTINCT processes.name, listening_ports.port, processes.pid  
  FROM listening_ports JOIN processes USING (pid)  
  WHERE listening_ports.address = '0.0.0.0';  
  
SELECT name, program || program_arguments AS executable  
  FROM launchd  
  WHERE (run_at_load = 1 AND keep_alive = 1)  
  AND (program != '' OR program_arguments != '');  
  
SELECT address, mac, COUNT(mac) AS mac_count  
  FROM arp_cache GROUP BY mac  
  HAVING count(mac) > 1;