Sysmon

Populær systemmonitor fra Microsoft har funnet veien til Linux

Markerer 25-årsjubileet til originalen.

System Monitor (Sysmon) kan nå kjøres på Linux-baserte systemer.
System Monitor (Sysmon) kan nå kjøres på Linux-baserte systemer. (Illustrasjon: Ubuntu, Microsoft. Montasje: Digi.no)

Markerer 25-årsjubileet til originalen.

Microsofts mye brukte System Monitor-verktøy (Sysmon), som opprinnelig het Sysinternals Sysmon, er 25 år i disse dager. I den forbindelse har det blitt utgitt en Linux-versjon, selvfølgelig basert på åpen kildekode.

Sysinternals er fortsatt en serie med systemverktøy for Windows som opprinnelig ble skapt av Mark Russinovich, som i dag er teknologidirektør for Microsoft Azure.

I likhet med Windows-versjonen, er Sysmon for Linux et verktøy for å registrere sikkerhetsrelaterte hendelser i operativsystemet. Linux-versjonen gjør dette ved hjelp av eBPF (Extended Berkeley Packet Filter), for deretter å sende dem til Syslog, hvor de enkelt kan behandles videre. 

Les også

Prosesser, filer og nettverk

Blant det Sysmon kan overvåke, er systemkall og detaljer knyttet til opprettelse og terminering av prosesser, opprettelse av nettverksforbindelser og enkelte filrelaterte hendelser. Hva som skal overvåkes, kan administratoren bestemme ved å tilpasse en egen konfigurasjonsfil.

Som nevnte er Sysmon for Linux basert på eBPF. Dersom man ønsker å kompilere Sysmon selv, må eBPF være installert på forhånd. I denne artikkelen finnes det blant annet en beskrivelse av hvordan dette gjøres. 

Sysmon for Linux er også tilgjengelig i ferdig kompilerte pakker til noen av de vanligste Linux-distribusjonene

Flere detaljer om installasjonen og bruken av Sysmon for Linux finnes i denne artikkelen.

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen