osquery とは、Facebookが開発したSQLライクな攻撃/侵入検知ツールとのことです。
いろいろなシステム情報をわかりやすいフォーマットでコマンドプロンプト上に表示でき、Splunk というSIEMにシステム情報を取り込むのも簡単そうだったので、MacOS にインストールしてみることにしました。
当初は簡単にインストールできるだろうと考えていましたが、brew install osquery とコマンドを打ったところ、以下のように「Error : osquery has been disabled!」と表示され、インストールできませんでした。
そこでGoogleで検索しましたが、いくら検索してもHomebrewを使う以外の方法が見つからず、困っておりましたが、ようやくあるサイトを見つけ、インストールすることができました。
osquery.ioサイトからMacOS用のpkgファイルがダウンロード可能
そんな中、ようやく以下のサイトを発見しました。
このサイトにアクセスすると、自動的に最新バージョンのダウンロードページが表示されます。
下にスクロールすると、MacOSのpkgがダウンロードできます。
ダウンロードした後は、(あまり覚えていませんが)たぶん、pkgファイルをダブルクリックしただけで、インストールできました!
今後はこのツールを利用して定期的にシステム状態を監視してみたいと考えています。
