Microsoft 公開のシステム監視ツール Sysmon for Linux

0 0
Microsoft 公開のシステム監視ツール Sysmon for Linux を紹介します。

Sysmon とは
Sysmon は Microsoft 公開のシステム監視ツールです。Windows 版Linux 版があり、今回は Linux 版を紹介します。

Sysmon を用いると、以下の表のイベント発生時に、ログが記録されます。
イベント ID記述
1新しいプロセスが作成された際
3TCP/UDP コネクション
4Sysmon サービスが開始 / 終了された際
5プロセスが終了した際
9ドライブからリードを実施した際
11ファイル作成 / 上書き時
16Sysmon の設定ファイルがアップデートされた際
23ファイルが削除された際

Sysmon の使い方
1. Sysmon をインストールします。以下は Ubuntu での手順です。他ディストリビューションでのインストール方法は Sysmon の GitHub で確認できます。
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt-get update
sudo apt-get install sysmonforlinux



2. 全てのイベントを記録する設定ファイルをダウンロードします。
wget https://gist.githubusercontent.com/Cyb3rWard0g/bcf1514cc340197f0076bf1da8954077/raw/293db31bb81c48ff18a591574a6f2bf946282602/SysmonForLinux-CollectAll-Config.xml


設定ファイルの中身は以下です。


3. Sysmon を開始します。
sudo sysmon -accepteula -i <上記 2 でダウンロードした設定ファイル>


4. イベントが発生すると、syslog に XML 形式でログが記録されています。
以下は、ファイル test1.txt を削除した際のログです。


5. sysmonLogView を使うと、読みやすい形式で表示してくれます。
以下は test3.txt を削除した際のログです。
sudo tail -f /var/log/syslog | sudo /opt/sysmon/sysmonLogView


補足
出力されるログはフィルターをすることも可能です。フィルターの仕方は Microsoft のサイトで確認できます。


情報元
Automating the deployment of Sysmon for Linux and Azure Sentinel in a lab environment
Sysinternals / SysmonForLinux
ページトップ