在最簡單的形式中，osquery 由運行在計算機上的守護進程和客戶端組成。守護進程根據(jù) osquery 配置文件收集有關(guān)主機的信息。配置文件告訴 osquery 要收集什么。數(shù)據(jù)存儲在該計算機本地的數(shù)據(jù)庫中。快速訪問此信息的最簡單方法是運行 osqueryi 二進制文件。這將打開一個簡單的命令行，您可以從中創(chuàng)建和運行簡單的 SQL 查詢以顯示有關(guān)系統(tǒng)的數(shù)據(jù)。

拿 osquery 來試駕是非常容易的。訪問 osquery.io 并下載適用于您想要的任何操作系統(tǒng)的軟件包。如果您運行 Windows，您將下載 osquery.msi 并運行它以將程序安裝到 c:Program Filesosquery。打開終端提示符，導(dǎo)航到該文件夾??并運行 osqueryi.exe 以使用默認配置啟動 osquery。使用此默認配置，您可以立即查詢有關(guān)您系統(tǒng)的有趣數(shù)據(jù)，并讓您了解它的功能，然后您可以擴展您的部署，使其最適合您的環(huán)境或組織。

在最基本的狀態(tài)下，您可以使用基本的 SQL 語法以交互方式查詢主機。例如，要顯示 Windows 計算機上正在運行的服務(wù)的名稱，請運行查詢：

osquery> SELECT display_name FROM services WHERE status='RUNNING';

Osquery 將相似的查詢組組織成包。默認安裝中包含的包示例包括硬件監(jiān)控、it-compliance 和 osquery-monitoring。安全特定包還包括查詢，讓您可以搜索 Windows 和 Mac 攻擊以及 Windows 強化。這些查詢利用了操作系統(tǒng)的特定功能。例如，Windows 強化包包括在注冊表中查找可能導(dǎo)致安全性較低的配置的特定值的查詢。

Osquery 是一個可以詢問有關(guān)它正在監(jiān)控的系統(tǒng)的各種問題的地方。例如，您可以查詢已安裝的補?。?/font>