Cómo instalar y usar Procmon en Linux, una herramienta de código abierto recientemente lanzada por Microsoft

Después de un largo tiempo de planificación con muchos retrasos, Microsoft finalmente lanzó oficialmente la versión de la popular utilidad Sysiternals Procmon Linux para que los usuarios puedan rastrear las actividades de los procesos que se ejecutan directamente en el sistema operativo. en este código abierto.

¿Qué es procmon?

Quizás muchos usuarios de Windows no sean ajenos a esta herramienta. Procmon es una utilidad del sistema que ayuda a los usuarios a rastrear fácilmente las llamadas al sistema (llamadas al sistema), acceder al registro y actividades de archivo relacionadas con los procesos que se ejecutan en el sistema operativo.

El seguimiento de estos procesos permite a los usuarios diagnosticar temprano los problemas que pueden ocurrir en el sistema, como conflictos de aplicaciones, uso excesivo de recursos o incluso infecciones de malware.

Procmon para Windows

El lanzamiento de la herramienta Procmon de código abierto para Linux juega un papel importante, brindando a los usuarios de Linux una herramienta adicional para ayudar a rastrear los procesos que se ejecutan en sistemas similares a Windows, como se puede ver. en la demostración a continuación:

Demostración de Procmon en Linux

Cómo instalar y compilar Procmon en Linux

Requisitos del sistema

1. Sistema operativo: Ubuntu 18.04 LTS con kernel> = 4.18 y kernel
2. cmake> = 3.13 (solo tiempo de compilación)
3. libsqlite3-dev> = 3.22 (solo tiempo de compilación)

Instalar Procmon

Regístrese para obtener la clave y el feed de Microsoft:

wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb sudo dpkg -i packages-microsoft-prod.deb

Luego, use el siguiente comando para instalar Procmon:

sudo apt-get update sudo apt-get install procmon

Procmon compilando desde la fuente

Instale la dependencia:

sudo apt-get -y install bison build-essential flex git libedit-dev libllvm6.0 llvm-6.0-dev libclang-6.0-dev python zlib1g-dev libelf-dev

Construya e instale BCC:

git clone --branch tag_v0.10.0 https://github.com/iovisor/bcc.git mkdir bcc/build cd bcc/build cmake . -DCMAKE_INSTALL_PREFIX=/usr make sudo make install

Construir Procmon:

git clone https://github.com/Microsoft/Procmon-for-Linux cd Procmon-for-Linux mkdir build cd build cmake . make

Compile el paquete Procmon:

Los paquetes de distribución para Procmon en Linux se crean usando cpack. Para construir el paquete deb para Procmon en Ubuntu, solo necesita ejecutar:

cd build cpack .

Cómo usar Procmon

Al usar Procmon en Linux, los usuarios pueden especificar el ID de proceso que desean rastrear o llamadas al sistema específicas con los siguientes argumentos:

Usage: procmon [TÙY CHỌN]

Hay OPCIONES que incluyen:

1. -h / – ayuda: Imprime esta pantalla de ayuda
2. -p / – pids: Separe la lista de identificación de procesos con comas para monitorear
3. -e / – eventos: Separe una lista de llamadas al sistema con una coma para monitorear
4. -c / – recolectar [PATHWAY]: Opción para iniciar Procmon en modo no terminal
5. -f / – archivo CAMINO : Abra el archivo de seguimiento de Procmon

Por ejemplo, para monitorear procesos con id 738 y 2657, ingrese el siguiente comando:

sudo procmon -p 738,2657

Para monitorear PID 738 y listar todas las llamadas de lectura / escritura, use el siguiente comando.

sudo procmon -p 738 -e read,write

Para obtener más información sobre el uso de Procmon en Linux, puede consultar el sitio web de GitHub para este proyecto AQUÍ: