虽然微软主要为自己的Windows操作系统生产应用程序和服务,但该公司多年来一直支持Linux和macOS。随着最近在Windows11商店中发布适用于Linux的Windows子系统,Linux用户现在又多了一份享受。微软现在发布了其Windows系统监控工具Sysmon的Linux版本。Sysmon只是Microsoft管理的一系列Sysinternals工具之一,这些工具使用户能够监控系统是否有可疑活动的迹象,然后可以记录这些迹象。这是一个高度可配置的工具,系统管理员可以对其进行自定义以查找可能需要关注的非常具体的活动类型。任何希望立即开始使用该实用程序的人都需要熟悉如何编译Linux二进制文件,但这不应该成为该工具的目标受众的障碍。安装SysmonforLinuxSysmon依赖于他们对eBPF的实现,所以需要先编译安装。https://github.com/Sysinternals/SysinternalsEBPF安装eBPF后,您可以继续编译和安装Sysmon,它在存储库中有很好的文档,只需按照步骤操作即可。https://github.com/Sysinternals/SysmonForLinux一旦完成并成功,我们就可以运行它了,熟悉的提示映入眼帘。命令行选项比Windows少。但是,随着时间的推移,我相信会添加更多功能。一件很棒的事情是,Windows和Linux的Sysmon共享相同的清单,因此共享相同的体系结构。这意味着所有可记录的事件对于将记录的每种事件类型都将具有完全相同的字段集。字段的内容因操作系统而异,在Linux上不会填充所有字段,但所有字段名称都相同,并且创建了配置,这太棒了!请求模式时请记住这一点,在Linux上您将获得与在Windows上相同的输出。一旦启动,Sysmon将开始将事件记录到/var/log/syslog文件中。如果不指定配置文件来限制记录的内容,您会发现syslog文件随着新进程的启动和终止而迅速增长。如下图:所有的日志都作为XML事件写入syslog文件。Sysinternals团队还包括sysmonLogView实用程序,用于在本地系统上以更易读的格式解析数据。Sysmon可以说是一个功能强大的工具,已作为组织安全工具箱的一部分在Windows环境中广泛使用。现在,随着Linux的加入,系统管理员可以利用它为恶意活动提供免费的系统监控。有关适用于Linux的Sysmon和下载的更多详细信息,请访问GitHub。
