虽然微软主要生产用于自己的Windows操作系统的应用程序和服务,但多年来,该公司不仅支持macOS,也支持Linux。
最近在Windows 11商店中发布了Linux的Windows子系统,现在对于Linux用户来说是另一种享受。微软现在发布了Linux版本的Windows系统监控工具Sysmon。
Sysmon 只是 Microsoft 管理的 Sysinternals 工具集合之一,使用户能够监视系统是否存在可疑活动的迹象,然后可以将其记录下来。它是一个高度可配置的工具,系统管理员可以对其进行自定义,以查找可能引起关注的非常特定类型的活动。
任何希望直接进入并开始使用该实用程序的人都需要熟悉如何编译 Linux 二进制文件,但这不会成为该工具目标受众的阻碍。
为 Linux 安装 Sysmon
Sysmon 依赖于他们对 eBPF 的实现,因此您需要先编译和安装它。https://github.com/Sysinternals/SysinternalsEBPF
安装 eBPF 后,您可以继续编译和安装 Sysmon,它已在存储库中详细记录,只需执行步骤即可。
https://github.com/Sysinternals/SysmonForLinux
一旦完满成功,我们就可以运行它,一个熟悉的提示映入眼帘。
命令行选项比 Windows 少。但是,随着时间的推移,我相信会添加更多功能。
一件很酷的事情是 Sysmon for Windows 和 Linux 共享相同的清单,因此也共享相同的架构。这意味着所有可记录的事件将具有与将被记录的每种事件类型完全相同的字段集。
字段的内容因操作系统而异,在 Linux 上不会填充所有字段,但所有字段名称都将相同,并且创建配置,这很棒!请求模式时请记住这一点,在 Linux 上您将获得与 Windows 上相同的输出。
一旦启动,Sysmon将开始将事件记录到/var/log/syslog文件中。如果您没有指定一个配置文件来限制记录的内容,那么您会发现,随着新进程的启动和终止,syslog文件会迅速增长。如下图:
所有日志都作为 XML 事件写入 syslog 文件。Sysinternals 团队还包括 sysmonLogView 实用程序,用于在本地系统上以更易读的格式解析数据。
Sysmon 可以说是一款强大的工具,已经被广泛用于 Windows 环境中作为组织安全工具箱的一部分。现在随着 Linux 的加入,系统管理员可以利用它为恶意活动提供免费的系统监控。
有关 Linux 版 Sysmon 和下载的更多详细信息,可以在GitHub上找到。