拨开荷叶行,寻梦已然成。仙女莲花里,翩翩白鹭情。
IMG-LOGO
主页 文章列表 微软将 Sysmon 工具引入 Linux

微软将 Sysmon 工具引入 Linux

白鹭 - 2022-01-02 2138 0 0

Sysmon(又名系统监视器)是 Microsoft 的 SysInternals 工具包中的一个工具。其功能是监控系统是否存在恶意活动,然后将所有检测到的行为记录到系统日志文件中。

Sysmon 非常灵活,允许管理员创建自定义配置文件来监控特定系统事件。从那里,管理员将轻松检测系统上的危险活动。

微软将 Sysmon 工具带到 Linux 的图 1

Sysmon for Linux 将作为开源项目在 GitHub 上发布。 Linux 用户必须自己编译程序并确保他们拥有所有必需的依赖项。项目的此处的GitHub页面上提供了编译程序的说明。

需要注意的是,编译Sysmon必须首先安装SysinternalsEBP项目。

Sysmon 编译完成后,可以通过输入命令查看帮助文件:sudo./sysmon-h。要使用该程序,您必须首先通过输入命令接受用户的许可协议:sudo./sysmon-accepteula。

然后,您可以使用以下命令之一在有或没有配置文件的情况下运行 Sysmon:

无配置文件:

  1. sudo./sysmon-i

有一个图像级文件:

  1. sudo./sysmon-i CONFIG_FILE

要创建自己的 Sysmon 配置文件,您需要使用./sysmon-s 命令查看当前实例的配置图并查看可用的命令。要了解有关创建 Sysmon 配置文件的更多信息,请参阅此处的官方 Microsoft 文档.

启动 Sysmon 后,将开始将事件记录到文件/var/log/syslog。因此,如果您不将其配置为限制记录的内容,您会发现您的日志文件大小会增加。

希望您在使用 Microsoft 的 Linux 新工具时“开心”。

标签:

0 评论

发表评论

您的电子邮件地址不会被公开。 必填的字段已做标记 *