深入理解osquery项目中的SDK与扩展开发

深入理解osquery项目中的SDK与扩展开发

osquery osquery/osquery: Osquery 是由Facebook开发的一个跨平台的SQL查询引擎，用于操作系统数据的查询和分析。它将操作系统视为一个数据库，使得安全审计、系统监控以及故障排查等工作可以通过标准SQL查询来进行。 项目地址: https://gitcode.com/gh_mirrors/os/osquery

概述

osquery是一个强大的工具，它将操作系统抽象为一个高性能的关系数据库，允许用户使用SQL查询来监控和分析系统状态。osquery的核心功能通过其SDK（软件开发工具包）提供，开发者可以利用这个SDK创建自定义扩展来增强osquery的功能。

osquery SDK架构

osquery的代码结构分为三个主要部分：

1. 核心代码(Core)：构成osquery框架的基础部分，包含大部分核心功能
2. 附加代码(Additional)：包含SQLite实现和大多数表实现
3. 测试代码(Testing)：用于测试的代码

SDK主要包含核心代码的公共头文件和部分实现文件，这些文件位于osquery/sdk/目录下。这种组织方式使得开发者可以在不依赖完整CMake构建系统的情况下使用osquery功能。

扩展开发基础

扩展是与osquery核心进程分离的独立进程，通过Thrift IPC通道与核心通信。这种设计允许开发者：

• 使用外部构建系统编译和链接扩展
• 集成专有代码而不影响osquery核心
• 保持与官方二进制包的版本兼容性

扩展的生命周期

1. 扩展进程启动并连接到osquery核心
2. 扩展向核心注册其插件或虚拟表
3. 核心通过Thrift API与扩展通信
4. 当通信中断时，核心自动注销相关插件

开发一个简单的扩展

下面我们通过一个示例来演示如何开发一个简单的osquery扩展：

#include <osquery/core/system.h>
#include <osquery/sdk/sdk.h>
#include <osquery/sql/dynamic_table_row.h>

using namespace osquery;

class ExampleTablePlugin : public TablePlugin {
 private:
  TableColumns columns() const override {
    return {
      std::make_tuple("example_text", TEXT_TYPE, ColumnOptions::DEFAULT),
      std::make_tuple("example_integer", INTEGER_TYPE, ColumnOptions::DEFAULT),
    };
  }

  TableRows generate(QueryContext& request) {
    TableRows results;
    auto r = make_table_row();
    r["example_text"] = "example";
    r["example_integer"] = INTEGER(1);
    results.push_back(std::move(r));
    return results;
  }
};

REGISTER_EXTERNAL(ExampleTablePlugin, "table", "example");

int main(int argc, char* argv[]) {
  osquery::Initializer runner(argc, argv, ToolType::EXTENSION);
  auto status = startExtension("example", "0.0.1");
  if (!status.ok()) {
    LOG(ERROR) << status.getMessage();
    runner.requestShutdown(status.getCode());
  }
  runner.waitForShutdown();
  return runner.shutdown(0);
}

这个示例展示了：

1. 包含必要的SDK头文件
2. 定义一个简单的表插件
3. 注册插件
4. 初始化扩展并连接到osquery核心

扩展的构建与使用

构建扩展

osquery提供了简化扩展构建的方法：

1. 将扩展源代码目录符号链接到osquery的external目录下
2. 确保链接名称以"extension_"为前缀
3. 运行make externals命令

构建系统会自动查找并编译所有匹配的源文件。对于更复杂的构建需求，可以在扩展目录中添加CMakeLists.txt文件。

使用扩展

有两种主要方式加载扩展：

1. 手动加载：在osquery启动后，通过命令行或程序方式加载扩展
2. 自动加载：在osquery启动时通过--extension参数指定扩展路径

例如：

osqueryi --extension ./example_extension.ext

高级主题：多扩展打包

osquery支持将多个扩展打包成单个可执行文件：

1. 使用add_osquery_extension_ex() CMake函数声明扩展
2. 通过环境变量自定义可执行文件名称和版本：
   • OSQUERY_EXTENSION_GROUP_NAME：设置可执行文件名称
   • OSQUERY_EXTENSION_GROUP_VERSION：设置版本号

注意事项：

• 每个扩展的源目录会被添加到include列表，因此应确保头文件名唯一
• 使用RapidJSON时应包含osquery的json.h头文件以避免链接问题

Thrift API详解

osquery使用Thrift框架实现扩展与核心之间的通信。主要包含两个服务接口：

扩展服务接口(Extension)

service Extension {
  ExtensionStatus ping(),
  ExtensionResponse call(
    1:string registry,
    2:string item,
    3:ExtensionPluginRequest request),
}

• ping()：用于健康检查
• call()：调用注册的插件功能

扩展管理服务接口(ExtensionManager)

service ExtensionManager extends Extension {
  InternalExtensionList extensions(),
  InternalOptionList options(),
  ExtensionStatus registerExtension(
    1:InternalExtensionInfo info,
    2:ExtensionRegistry registry),
  ExtensionStatus deregisterExtension(
    1:ExtensionRouteUUID uuid,
  ),
  ExtensionResponse query(
    1:string sql,
  ),
  ExtensionResponse getQueryColumns(
    1:string sql,
  ),
}

这些接口提供了扩展注册、注销、SQL查询等核心功能。

最佳实践

1. 错误处理：始终检查startExtension的返回状态
2. 资源管理：确保在扩展关闭时正确释放资源
3. 日志记录：使用glog进行适当的日志记录
4. 版本控制：保持扩展版本与osquery核心版本兼容
5. 性能考虑：避免在表插件的generate方法中执行耗时操作

通过理解这些概念和技术，开发者可以充分利用osquery的扩展机制，创建强大的系统监控和分析工具。

osquery osquery/osquery: Osquery 是由Facebook开发的一个跨平台的SQL查询引擎，用于操作系统数据的查询和分析。它将操作系统视为一个数据库，使得安全审计、系统监控以及故障排查等工作可以通过标准SQL查询来进行。 项目地址: https://gitcode.com/gh_mirrors/os/osquery