File: //opt/saltstack/salt/lib/python3.10/site-packages/salt/modules/__pycache__/osquery.cpython-310.pyc
o
�����N�g�c�����������������������@���s*���d�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�e���e���Z�d�d�d�d���Z d�Z
d�d ��Z�d
d���Z�d�d
d���Z
d�d�d���Z�d�d���Z�d�d�d���Z�d�d�d���Z�d�d�d���Z�d�d�d���Z�d�d�d���Z�d�d�d���Z�d�d�d ��Z�d�d!d"��Z�d�d#d$��Z�d�d%d&��Z�d�d'd(��Z�d�d)d*��Z�d�d+d,��Z�d�d-d.��Z�d�d/d0��Z�d�d1d2��Z�d�d3d4��Z d�d5d6��Z!d�d7d8��Z"d�d9d:��Z#d�d;d<��Z$d�d=d>��Z%d�d?d@��Z&d�dAdB��Z'd�dCdD��Z(d�dEdF��Z)d�dGdH��Z*d�dIdJ��Z+d�dKdL��Z,d�dMdN��Z-d�dOdP��Z.d�dQdR��Z/d�dSdT��Z0d�dUdV��Z1d�dWdX��Z2d�dYdZ��Z3d�d[d\��Z4d�d]d^��Z5d�d_d`��Z6d�dadb��Z7d�dcdd��Z8d�dedf��Z9d�dgdh��Z:d�didj��Z;d�dkdl��Z<d�dmdn��Z=d�dodp��Z>d�dqdr��Z?d�dsdt��Z@d�dudv��ZAd�dwdx��ZBd�dydz��ZCd�d{d|��ZDd�d}d~��ZEd�dd���ZFd�d�d���ZGd�d�d���ZHd�d�d���ZId�d�d���ZJd�d�d���ZKd�d�d���ZLd�d�d���ZMd�d�d���ZNd�d�d���ZOd�d�d���ZPd�d�d���ZQd�d�d���ZRd�d�d���ZSd�d�d���ZTd�d�d���ZUd�S�)�zG
Support for OSQuery - https://osquery.io.
.. versionadded:: 2015.8.0
�����N��file��hash��time)���file_��hash_��time_Z�osqueryc��������������������C���s����t�j�j���d���r t�S�d�S�)�N��osqueryi)�FzRThe osquery execution module cannot be loaded: osqueryi binary is not in the path.)���salt��utils��path��which��__virtualname__��r����r�����H/opt/saltstack/salt/lib/python3.10/site-packages/salt/modules/osquery.py��__virtual__����s����������r����c��������������������C���sh���d�g�d�g���d�|���d���g���}�t�d���|���}�|�d���d�k�r2g�}�t�j�j���|�d�����}�|�D�] }�|���|�d ������q&|�S�d
S�)�z8
Helper function to find valid table attributes
r������--jsonz�pragma table_info(��)��cmd.run_all��retcoder������stdout��nameF)���__salt__r ���r
�����json��loads��append)���table��cmd��res��attrs��text��itemr����r����r������_table_attrs#���s����������������������r!���r����c��������������������C���sj���d�d�i�}�d�g�d�g���|�g���}�t�d���|���}�|�d���r"d�|�d�<�|�d���|�d�<�n�t�j�j���|�d ����|�d
<�t���d�|�����|�S�)�z4
Helper function to run raw osquery queries
��resultTr����r����r������stderrF��errorr������dataz�== %s ==)�r����r ���r
���r����r������log��debug)���sql��format��retr����r����r����r����r������_osquery2���s������������������������r+���c������������
�������C���s����d�d�i�}�|�rIt�|�t���r?t�|���}�|�r1|�D�]�}�|�|�v�r*d�|�d�<�|���d�|�����|�d�<�|�����S�q�d���|���}�n�d�|�d�<�d�|���d���|�d�<�|�S�d |�d�<�d�|�d�<�|�S�d
}�d�|���d�|�����}�|�r\|���d
|�����}�|���d���}�t�|���} | d���rq| d���|�d�<�|�S�| d���|�d�<�|�S�)�z0
Helper function to run osquery queries
r"���TFz$ is not a valid attribute for table ��comment��,z�Invalid table ��.z"attrs must be specified as a list.��*z�select z� from z� where ��;r%���r$���)��
isinstance��listr!�����joinr+���)
r����r������wherer)���r*���Z�valid_attrs��aZ�_attrsr(���r����r����r����r������_osquery_cmdE���s>���������
�����������������������������������������
�������������r6���c��������������������C���sZ���d�d�d���}�t�d�d�g�d���}�d�|�v�r+|�d���r+d�|�v�r+t�|�d���t���r+|�d���d ����d�d
��p*|�S�|�S�)�zq
Return version of osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.version
Fz�OSQuery version unavailable.��r"���r,�����osquery_info��version��r����r����r"���r%���r������)�r6���r1���r2�����get)�Z
_false_returnr����r����r����r����r9���s���s����
����������r9���c��������������������C����$���t�d���d�k�r
t�d�|�|�d���S�d�d�d���S�)�z�
Return cpuid information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.rpm_packages
� os_family��RedHat��rpm_packages��r����r����r4���Fz(Only available on Red Hat based systems.r7�����Z
__grains__r6�����r����r4���r����r����r����r@�������������
��
�r@���c��������������������C����$���t�d���d�v�r
t�d�|�|�d���S�d�d�d���S�)�z�
Return kernel_integrity information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.kernel_integrity
r>�����r?�����Debian��kernel_integrityrA���F�2Only available on Red Hat or Debian based systems.r7���rB���rC���r����r����r����rH��������
����
��������rH���c��������������������C���rE���)�z�
Return kernel_modules information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.kernel_modules
r>���rF�����kernel_modulesrA���FrI���r7���rB���rC���r����r����r����rK�������rJ���rK���c��������������������C���rE���)�z�
Return memory_map information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.memory_map
r>���rF����
memory_maprA���FrI���r7���rB���rC���r����r����r����rL�������rJ���rL���c��������������������C���rE���)�z�
Return process_memory_map information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.process_memory_map
r>���rF�����process_memory_maprA���FrI���r7���rB���rC���r����r����r����rM�������rJ���rM���c��������������������C���rE���)�z�
Return shared_memory information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.shared_memory
r>���rF����
shared_memoryrA���FrI���r7���rB���rC���r����r����r����rN�������rJ���rN���c��������������������C���r=���)�z�
Return apt_sources information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.apt_sources
r>���rG�����apt_sourcesrA���F�'Only available on Debian based systems.r7���rB���rC���r����r����r����rO�������rD���rO���c��������������������C���r=���)�z�
Return deb_packages information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.deb_packages
r>���rG�����deb_packagesrA���FrP���r7���rB���rC���r����r����r����rQ�������rD���rQ���c��������������������C��������t�d�|�|�d���S�)�z�
Return acpi_tables information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.acpi_tables
��acpi_tablesrA�����r6���rC���r����r����r����rS�������������
rS���c��������������������C���rR���)�z�
Return arp_cache information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.arp_cache
� arp_cacherA���rT���rC���r����r����r����rV�������rU���rV���c��������������������C���rR���)�z�
Return block_devices information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.block_devices
�
block_devicesrA���rT���rC���r����r����r����rW���&���rU���rW���c��������������������C���rR���)�z{
Return cpuid information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.cpuid
��cpuidrA���rT���rC���r����r����r����rX���3���rU���rX���c��������������������C���rR���)�z
Return crontab information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.crontab
��crontabrA���rT���rC���r����r����r����rY���@���rU���rY���c��������������������C���rR���)�z�
Return etc_hosts information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.etc_hosts
� etc_hostsrA���rT���rC���r����r����r����rZ���M���rU���rZ���c��������������������C���rR���)�z�
Return etc_services information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.etc_services
��etc_servicesrA���rT���rC���r����r����r����r[���Z���rU���r[���c��������������������C���rR���)�z�
Return file_changes information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.file_changes
��file_changesrA���rT���rC���r����r����r����r\���g���rU���r\���c��������������������C���rR���)�z}
Return groups information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.groups
��groupsrA���rT���rC���r����r����r����r]���t���rU���r]���c��������������������C���rR���)�z�
Return hardware_events information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.hardware_events
��hardware_eventsrA���rT���rC���r����r����r����r^�������rU���r^���c��������������������C���rR���)�z�
Return interface_addresses information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.interface_addresses
��interface_addressesrA���rT���rC���r����r����r����r_�������rU���r_���c��������������������C���rR���)�z�
Return interface_details information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.interface_details
��interface_detailsrA���rT���rC���r����r����r����r`�������rU���r`���c��������������������C���rR���)�z�
Return kernel_info information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.kernel_info
��kernel_inforA���rT���rC���r����r����r����ra�������rU���ra���c��������������������C���rR���)�zy
Return last information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.last
��lastrA���rT���rC���r����r����r����rb�������rU���rb���c��������������������C���rR���)�z�
Return listening_ports information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.listening_ports
��listening_portsrA���rT���rC���r����r����r����rc�������rU���rc���c��������������������C���rR���)�z�
Return logged_in_users information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.logged_in_users
��logged_in_usersrA���rT���rC���r����r����r����rd�������rU���rd���c��������������������C���rR���)�z}
Return mounts information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.mounts
��mountsrA���rT���rC���r����r����r����re�������rU���re���c��������������������C���rR���)�z�
Return os_version information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.os_version
�
os_versionrA���rT���rC���r����r����r����rf�������rU���rf���c��������������������C���rR���)�z�
Return passwd_changes information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.passwd_changes
��passwd_changesrA���rT���rC���r����r����r����rg�������rU���rg���c��������������������C���rR���)�z�
Return pci_devices information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.pci_devices
��pci_devicesrA���rT���rC���r����r����r����rh�������rU���rh���c��������������������C���rR���)�z�
Return process_envs information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.process_envs
��process_envsrA���rT���rC���r����r����r����ri�������rU���ri���c��������������������C���rR���)�z�
Return process_open_files information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.process_open_files
��process_open_filesrA���rT���rC���r����r����r����rj�������rU���rj���c��������������������C���rR���)�z�
Return process_open_sockets information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.process_open_sockets
��process_open_socketsrA���rT���rC���r����r����r����rk���*���rU���rk���c��������������������C���rR���)�z�
Return processes information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.processes
� processesrA���rT���rC���r����r����r����rl���7���rU���rl���c��������������������C���rR���)�z}
Return routes information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.routes
��routesrA���rT���rC���r����r����r����rm���D���rU���rm���c��������������������C���rR���)�z�
Return shell_history information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.shell_history
�
shell_historyrA���rT���rC���r����r����r����rn���Q���rU���rn���c��������������������C���rR���)�z�
Return smbios_tables information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.smbios_tables
�
smbios_tablesrA���rT���rC���r����r����r����ro���^���rU���ro���c��������������������C���rR���)�z�
Return suid_bin information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.suid_bin
��suid_binrA���rT���rC���r����r����r����rp���k���rU���rp���c��������������������C���rR���)�z�
Return system_controls information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.system_controls
��system_controlsrA���rT���rC���r����r����r����rq���x���rU���rq���c��������������������C���rR���)�z�
Return usb_devices information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.usb_devices
��usb_devicesrA���rT���rC���r����r����r����rr�������rU���rr���c��������������������C���rR���)�z{
Return users information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.users
��usersrA���rT���rC���r����r����r����rs�������rU���rs���c��������������������C����$���t�j�j�����r
t�d�|�|�d���S�d�d�d���S�)�zw
Return alf information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.alf
��alfrA���F� Only available on macOS systems.r7�����r ���r
�����platformZ is_darwinr6���rC���r����r����r����ru�������rD���ru���c��������������������C���rt���)�z�
Return alf_exceptions information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.alf_exceptions
��alf_exceptionsrA���Frv���r7���rw���rC���r����r����r����ry�������rD���ry���c��������������������C���rt���)�z�
Return alf_explicit_auths information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.alf_explicit_auths
��alf_explicit_authsrA���Frv���r7���rw���rC���r����r����r����rz�������rD���rz���c��������������������C���rt���)�z�
Return alf_services information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.alf_services
��alf_servicesrA���Frv���r7���rw���rC���r����r����r����r{�������rD���r{���c��������������������C���rt���)�zy
Return apps information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.apps
��appsrA���Frv���r7���rw���rC���r����r����r����r|�������rD���r|���c��������������������C���rt���)�z�
Return certificates information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.certificates
��certificatesrA���Frv���r7���rw���rC���r����r����r����r}�������rD���r}���c��������������������C���rt���)�z�
Return chrome_extensions information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.chrome_extensions
��chrome_extensionsrA���Frv���r7���rw���rC���r����r����r����r~�������rD���r~���c��������������������C���rt���)�z�
Return firefox_addons information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.firefox_addons
��firefox_addonsrA���Frv���r7���rw���rC���r����r����r����r�������rD���r���c��������������������C���rt���)�z�
Return homebrew_packages information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.homebrew_packages
��homebrew_packagesrA���Frv���r7���rw���rC���r����r����r����r��������rD���r����c��������������������C���rt���)�z�
Return iokit_devicetree information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.iokit_devicetree
��iokit_devicetreerA���Frv���r7���rw���rC���r����r����r����r����&���rD���r����c��������������������C���rt���)�z�
Return iokit_registry information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.iokit_registry
��iokit_registryrA���Frv���r7���rw���rC���r����r����r����r����5���rD���r����c��������������������C���rt���)�z�
Return kernel_extensions information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.kernel_extensions
��kernel_extensionsrA���Frv���r7���rw���rC���r����r����r����r����D���rD���r����c��������������������C���rt���)�z�
Return keychain_items information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.keychain_items
��keychain_itemsrA���Frv���r7���rw���rC���r����r����r����r����S���rD���r����c��������������������C���rt���)�z
Return launchd information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.launchd
��launchdrA���Frv���r7���rw���rC���r����r����r����r����b���rD���r����c��������������������C���rt���)�z�
Return nfs_shares information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.nfs_shares
�
nfs_sharesrA���Frv���r7���rw���rC���r����r����r����r����q���rD���r����c��������������������C���rt���)�z{
Return nvram information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.nvram
��nvramrA���Frv���r7���rw���rC���r����r����r����r��������rD���r����c��������������������C���rt���)�z�
Return preferences information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.preferences
��preferencesrA���Frv���r7���rw���rC���r����r����r����r��������rD���r����c��������������������C���rt���)�z�
Return quarantine information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.quarantine
�
quarantinerA���Frv���r7���rw���rC���r����r����r����r��������rD���r����c��������������������C���rt���)�z�
Return safari_extensions information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.safari_extensions
��safari_extensionsrA���Frv���r7���rw���rC���r����r����r����r��������rD���r����c��������������������C���rt���)�z�
Return startup_items information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.startup_items
�
startup_itemsrA���Frv���r7���rw���rC���r����r����r����r��������rD���r����c��������������������C���rt���)�z�
Return xattr_where_from information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.xattr_where_from
��xattr_where_fromrA���Frv���r7���rw���rC���r����r����r����r��������rD���r����c��������������������C���rt���)�z�
Return xprotect_entries information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.xprotect_entries
��xprotect_entriesrA���Frv���r7���rw���rC���r����r����r����r��������rD���r����c��������������������C���rt���)�z�
Return xprotect_reports information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.xprotect_reports
��xprotect_reportsrA���Frv���r7���rw���rC���r����r����r����r��������rD���r����c��������������������C���rR���)�zy
Return file information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.file
r����rA���rT���rC���r����r����r����r��������rU���r����c��������������������C���rR���)�zy
Return hash information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.hash
r����rA���rT���rC���r����r����r����r��������rU���r����c��������������������C���rR���)�z�
Return osquery_extensions information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.osquery_extensions
��osquery_extensionsrA���rT���rC���r����r����r����r��������rU���r����c��������������������C���rR���)�z�
Return osquery_flags information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.osquery_flags
�
osquery_flagsrA���rT���rC���r����r����r����r��������rU���r����c��������������������C���rR���)�z�
Return osquery_info information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.osquery_info
r8���rA���rT���rC���r����r����r����r8���,���rU���r8���c��������������������C���rR���)�z�
Return osquery_registry information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.osquery_registry
��osquery_registryrA���rT���rC���r����r����r����r����9���rU���r����c��������������������C���s����t�d�|�d���S�)�zy
Return time information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.time
r����r:���rT���)�r����r����r����r����r����F���s�����
r����c��������������������C���s����t�|���S�)�z�
Return time information from osquery
CLI Example:
.. code-block:: bash
salt '*' osquery.query "select * from users;"
)�r+���)�r(���r����r����r������queryS���s�����
r����)�r����)�NNr����)�NN)�N)V��__doc__��loggingZ�salt.utils.jsonr ���Z�salt.utils.pathZ�salt.utils.platform� getLogger��__name__r&���Z�__func_alias__r
���r����r!���r+���r6���r9���r@���rH���rK���rL���rM���rN���rO���rQ���rS���rV���rW���rX���rY���rZ���r[���r\���r]���r^���r_���r`���ra���rb���rc���rd���re���rf���rg���rh���ri���rj���rk���rl���rm���rn���ro���rp���rq���rr���rs���ru���ry���rz���r{���r|���r}���r~���r���r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r8���r����r����r����r����r����r����r������<module>����s��������������
��������������
�
��.
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�