OSquery

Кроссплатформенный Opensource агент который конвертирует всё что происходит в ОС в реляционную БД, таким образом предоставляя возможность получать (OSQuery не предполагает управление) сведения выполняя SQL запросы к этой БД.

Для выполнения не SQL команд, перед командой ставится точка (по примеру psql): .help, .tables

Для получения схемы таблицы можно вызвать .schema $TABLE_NAME. Схемы всех версий доступны на сайте документации osquery.io/schema

Интересная таблица для Windows userassist - показывает кто и когда запускал что-либо из explorer.exe