eBPF: Microsoft portiert Sysmon auf Linux

Ein weiteres wichtiges Werkzeug von Microsofts Sysinternals-Reihe steht nun für Linux bereit: Sysmon. Das Tool basiert auf eBPF.

Artikel veröffentlicht am ,
Sysmon läuft nun auf Linux.
Sysmon läuft nun auf Linux. (Bild: Pixabay)

Das Windows-Werkzeug System Monitor (Sysmon) ist ein Systemdienst des Betriebssystems sowie Systemtreiber und ermöglicht ein weitgehendes Monitoring des Systems. Wie unter anderem der bei Microsoft als Technikchef für die Cloud-Plattform Azure zuständige Mark Russinovich auf Twitter mitteilt, steht Sysmon neben Windows nun auch für Linux bereit.

Stellenmarkt
  1. Data Engineer (d/m/w)
    NÜRNBERGER Versicherung, Nürnberg
  2. Junior-Inhouse-Consultant (m/w/d)
    MVV Energie AG, Mannheim
Detailsuche

Das Team arbeitet bereits seit etwa einem Jahr an einer Portierung seines Werkzeugs und greift dafür auf die eBPF-Technik des Linux-Kernels zurück. Bei eBPF handelt es sich um eine mittlerweile fast universell einsetzbare virtuelle Maschine (VM) im Linux-Kernel selbst, die aus dem Berkeley Packet Filter (BPF) hervorgegangen ist.

Zusätzlich zu dem eigentlichen Port von Sysmon auf Linux basiert das Projekt noch auf einer Bibliothek, SysinternalsEBPF, die Userspaceprogramme zur einfacheren Nutzung verwenden können. Hinzu kommt eine Bibliothek für das eBPF-Programm selbst. Ebenso teilen sich die Variante für Windows sowie jene für Linux bereits gemeinsamen Code, so dass sich die Unterschiede in Grenzen halten sollten.

Letzteres zeigt sich auch am angepriesenen Funktionsumfang. So ermöglicht Sysmon nun auch unter Linux eine tiefgreifende Beobachtung der Erstellung neuer Prozesse, samt Befehl und Eltern-Prozessen, sowie neuer oder gelöschter Dateien oder auch Zugriffe auf Festplatten. Auch Netzwerkverbindungen können überwacht werden. In der Beschreibung heißt es darüber hinaus aber explizit, dass Sysmon keinerlei Analyse der geloggten Ereignisse durchführe und das Werkzeug sich auch nicht vor möglichen Angreifern verstecke.

Golem Akademie
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    1.–2. Dezember 2021, virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    13.–16. Dezember 2021, virtuell
Weitere IT-Trainings

Auf Grundlage von eBPF unter Linux ist etwa das Cilium-Projekt entstanden, das weitreichende Netzwerk- und Sicherheitsfunktionen etwa für den Containereinsatz bereitstellt. Cloudflare nutzt eBPF darüber hinaus, um DDoS-Angriffe zu erkennen. Ebenso sind inzwischen einige verschiedene Tracing-Programme auf Grundlage von eBPF entstanden wie BPFtrace oder Canonicals Etrace. Microsoft arbeitet sogar an einem Port von eBPF auf Windows.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Feldversuch E-Mobility-Chaussee
So schnell bringen E-Autos das Stromnetz ans Limit

Das Laden von Elektroautos stellt Netzbetreiber auf dem Land vor besondere Herausforderungen. Ein Pilotprojekt hat verschiedene Lösungen getestet.
Ein Bericht von Friedhelm Greis

Feldversuch E-Mobility-Chaussee: So schnell bringen E-Autos das Stromnetz ans Limit
Artikel
  1. Encrochat-Hack: Damit würde man keinen Geschwindigkeitsverstoß verurteilen
    Encrochat-Hack
    "Damit würde man keinen Geschwindigkeitsverstoß verurteilen"

    Der Anwalt Johannes Eisenberg hat sich die Daten aus dem Encrochat-Hack genauer angesehen und viel Merkwürdiges entdeckt.
    Ein Interview von Moritz Tremmel

  2. Geforce Now (RTX 3080) im Test: 1440p120 mit Raytracing aus der Cloud
    Geforce Now (RTX 3080) im Test
    1440p120 mit Raytracing aus der Cloud

    Höhere Auflösung, mehr Bilder pro Sekunde, kürzere Latenzen: Geforce Now mit virtueller Geforce RTX 3080 ist Cloud-Gaming par excellence.
    Ein Test von Marc Sauter

  3. SpaceX: Starlink testet Satelliteninternet in Flugzeugen
    SpaceX
    Starlink testet Satelliteninternet in Flugzeugen

    Bald dürften mehrere Flugesellschaften Starlink-Service anbieten. Laut einem Manager soll es so schnell wie möglich gehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gaming-Monitore zu Bestpreisen (u. a. Samsung G9 49" 32:9 Curved QLED 240Hz 1.149€) • Spiele günstiger: PC, PS5, Xbox, Switch • Zurück in die Zukunft Trilogie 4K 31,97€ • be quiet 750W-PC-Netzteil 87,90€ • Cambridge Audio Melomonia Touch 89,95€ • Gaming-Stühle zu Bestpreisen [Werbung]
    •  /