雖然微軟主要生產(chǎn)用于自己的Windows操作系統(tǒng)的應(yīng)用程序和服務(wù)，但多年來(lái)，該公司不僅支持macOS，也支持Linux。

最近在Windows 11商店中發(fā)布了Linux的Windows子系統(tǒng)，現(xiàn)在對(duì)于Linux用戶來(lái)說(shuō)是另一種享受。微軟現(xiàn)在發(fā)布了Linux版本的Windows系統(tǒng)監(jiān)控工具Sysmon。

Sysmon 只是 Microsoft 管理的 Sysinternals 工具集合之一，使用戶能夠監(jiān)視系統(tǒng)是否存在可疑活動(dòng)的跡象，然后可以將其記錄下來(lái)。它是一個(gè)高度可配置的工具，系統(tǒng)管理員可以對(duì)其進(jìn)行自定義，以查找可能引起關(guān)注的非常特定類(lèi)型的活動(dòng)。

任何希望直接進(jìn)入并開(kāi)始使用該實(shí)用程序的人都需要熟悉如何編譯 Linux 二進(jìn)制文件，但這不會(huì)成為該工具目標(biāo)受眾的阻礙。

為 Linux 安裝 Sysmon

Sysmon 依賴于他們對(duì) eBPF 的實(shí)現(xiàn)，因此您需要先編譯和安裝它。https://github.com/Sysinternals/SysinternalsEBPF

安裝 eBPF 后，您可以繼續(xù)編譯和安裝 Sysmon，它已在存儲(chǔ)庫(kù)中詳細(xì)記錄，只需執(zhí)行步驟即可。

https://github.com/Sysinternals/SysmonForLinux

一旦完滿成功，我們就可以運(yùn)行它，一個(gè)熟悉的提示映入眼簾。

命令行選項(xiàng)比 Windows 少。但是，隨著時(shí)間的推移，我相信會(huì)添加更多功能。

一件很酷的事情是 Sysmon for Windows 和 Linux 共享相同的清單，因此也共享相同的架構(gòu)。這意味著所有可記錄的事件將具有與將被記錄的每種事件類(lèi)型完全相同的字段集。

字段的內(nèi)容因操作系統(tǒng)而異，在 Linux 上不會(huì)填充所有字段，但所有字段名稱都將相同，并且創(chuàng)建配置，這很棒！請(qǐng)求模式時(shí)請(qǐng)記住這一點(diǎn)，在 Linux 上您將獲得與 Windows 上相同的輸出。

一旦啟動(dòng)，Sysmon將開(kāi)始將事件記錄到/var/log/syslog文件中。如果您沒(méi)有指定一個(gè)配置文件來(lái)限制記錄的內(nèi)容，那么您會(huì)發(fā)現(xiàn)，隨著新進(jìn)程的啟動(dòng)和終止，syslog文件會(huì)迅速增長(zhǎng)。如下圖：

所有日志都作為 XML 事件寫(xiě)入 syslog 文件。Sysinternals 團(tuán)隊(duì)還包括 sysmonLogView 實(shí)用程序，用于在本地系統(tǒng)上以更易讀的格式解析數(shù)據(jù)。

Sysmon 可以說(shuō)是一款強(qiáng)大的工具，已經(jīng)被廣泛用于 Windows 環(huán)境中作為組織安全工具箱的一部分?，F(xiàn)在隨著 Linux 的加入，系統(tǒng)管理員可以利用它為惡意活動(dòng)提供免費(fèi)的系統(tǒng)監(jiān)控。

有關(guān) Linux 版 Sysmon 和下載的更多詳細(xì)信息，可以在GitHub上找到。