雖然微軟主要生產(chǎn)用于自己的Windows操作系統(tǒng)的應(yīng)用程序和服務(wù)，但多年來，該公司不僅支持macOS，也支持Linux。

最近在Windows 11商店中發(fā)布了Linux的Windows子系統(tǒng)，現(xiàn)在對于Linux用戶來說是另一種享受。微軟現(xiàn)在發(fā)布了Linux版本的Windows系統(tǒng)監(jiān)控工具Sysmon。

Sysmon 只是 Microsoft 管理的 Sysinternals 工具集合之一，使用戶能夠監(jiān)視系統(tǒng)是否存在可疑活動的跡象，然后可以將其記錄下來。它是一個高度可配置的工具，系統(tǒng)管理員可以對其進行自定義，以查找可能引起關(guān)注的非常特定類型的活動。

任何希望直接進入并開始使用該實用程序的人都需要熟悉如何編譯 Linux 二進制文件，但這不會成為該工具目標(biāo)受眾的阻礙。

為 Linux 安裝 Sysmon

Sysmon 依賴于他們對 eBPF 的實現(xiàn)，因此您需要先編譯和安裝它。https://github.com/Sysinternals/SysinternalsEBPF

安裝 eBPF 后，您可以繼續(xù)編譯和安裝 Sysmon，它已在存儲庫中詳細(xì)記錄，只需執(zhí)行步驟即可。

https://github.com/Sysinternals/SysmonForLinux

一旦完滿成功，我們就可以運行它，一個熟悉的提示映入眼簾。

命令行選項比 Windows 少。但是，隨著時間的推移，我相信會添加更多功能。

一件很酷的事情是 Sysmon for Windows 和 Linux 共享相同的清單，因此也共享相同的架構(gòu)。這意味著所有可記錄的事件將具有與將被記錄的每種事件類型完全相同的字段集。

字段的內(nèi)容因操作系統(tǒng)而異，在 Linux 上不會填充所有字段，但所有字段名稱都將相同，并且創(chuàng)建配置，這很棒！請求模式時請記住這一點，在 Linux 上您將獲得與 Windows 上相同的輸出。

一旦啟動，Sysmon將開始將事件記錄到/var/log/syslog文件中。如果您沒有指定一個配置文件來限制記錄的內(nèi)容，那么您會發(fā)現(xiàn)，隨著新進程的啟動和終止，syslog文件會迅速增長。如下圖：

所有日志都作為 XML 事件寫入 syslog 文件。Sysinternals 團隊還包括 sysmonLogView 實用程序，用于在本地系統(tǒng)上以更易讀的格式解析數(shù)據(jù)。

Sysmon 可以說是一款強大的工具，已經(jīng)被廣泛用于 Windows 環(huán)境中作為組織安全工具箱的一部分?，F(xiàn)在隨著 Linux 的加入，系統(tǒng)管理員可以利用它為惡意活動提供免費的系統(tǒng)監(jiān)控。

有關(guān) Linux 版 Sysmon 和下載的更多詳細(xì)信息，可以在GitHub上找到。