osquery es un framework que instrumenta nuestro sistema operativo (Windows, macOS, Linux y FreeBDS) permitiendo luego hacer consultas en formato SQL sobre la infraestructura de nuestro Sistema operative (Linux, Windows, Mac OS):

Osquery permite por ejemplo hacer consultas sobre los procesos en ejecución, usuarios, cambios en passwords, dispositivos USB, puerto abiertos,…

Osquery exporta esta información como un conjunto de tablas SQLite:

Ofrece instaladores para Linux (apt, rpm, deb,..), Windows, Mac,

(en Windows lo recomendable es usarlo chocolatey (ver post) e instalarlo con >choco install osquery)

una vez instalado puedo usarlo con el comando osqueryi

Si queremos exportar los datos en JSON puedo usar el parámetro –json