Sysmonで通信を監視する

Sysmonで通信を監視する

前回Linux環境の監視にSysmon for Linuxを導入したが、しばらく経って通信に関係するイベントのログが取れていないことに気づいた。

これは、デフォルトでは通信をログ取らないようになっているかららしい。

とりあえず設定を次のようにして、google以外の通信をログが取れるように設定した。

<Sysmon schemaversion="4.22">
	<EventFiltering>
	<NetworkConnect onmatch="exclude">
		<DestinationHostname condition="is">google.com</DestinationHostname>
		<DestinationHostname condition="end with">.google.com</DestinationHostname>
		<DestinationHostname condition="end with">.googleapis.com</DestinationHostname>
		<DestinationIp condition="is">0.0.0.0/32</DestinationIp>
	</NetworkConnect>
	<DnsQuery onmatch="exclude">
		<QueryName condition="is">google.com</QueryName>
		<QueryName condition="end with">.google.com</QueryName>
		<QueryName condition="end with">.googleapis.com</QueryName>
	</DnsQuery>
	</EventFiltering>
</Sysmon>

ちなみにネットワーク接続のイベントIDは3。

 5月 27 22:08:12 nixos sysmon[3183679]: <Event><System><Provider Name="Linux-Sysmon" Guid="{ff032593-a8d3-4f13-b0d6-01fc615a0f97}"/><EventID>3</EventID><Version>5</Version><Level>4</Level><Task>3</Task><Opcode>0</Opcode><Keywords>0x8000000000000000</Keywords><TimeCreated SystemTime="2026-05-27T13:08:12.407779000Z"/><EventRecordID>8344310</EventRecordID><Correlation/><Execution ProcessID="3183679" ThreadID="3183679"/><Channel>Linux-Sysmon/Operational</Channel><Computer>nixos</Computer><Security UserId="0"/></System><EventData><Data Name="RuleName">-</Data><Data Name="UtcTime">2026-05-26 01:08:41.417</Data><Data Name="ProcessGuid">{6b9591c2-e486-6a14-6079-8115f55b0000}</Data><Data Name="ProcessId">3423493</Data><Data Name="Image">/nix/store/nix/store/l7b0nbp564yrfp9l9fpzbxnp578n7bj6-slack-4.49.89/lib/slack/slack</Data><Data Name="User">iwate</Data><Data Name="Protocol">tcp</Data><Data Name="Initiated">true</Data><Data Name="SourceIsIpv6">false</Data><Data Name="SourceIp">192.168.1.20</Data><Data Name="SourceHostname">-</Data><Data Name="SourcePort">47256</Data><Data Name="SourcePortName">-</Data><Data Name="DestinationIsIpv6">false</Data><Data Name="DestinationIp">52.3.167.79</Data><Data Name="DestinationHostname">-</Data><Data Name="DestinationPort">443</Data><Data Name="DestinationPortName">-</Data></EventData></Event>

Sysmonをしばらく使っているとPowerShellでネットワーク通信するのがやたら遅いのが気になってる。 単にirmするだけでも数十秒待たされる。sysmonをstopするとまあまあだから完全にsysmonに削られている。それだけシステムコール数が多いってことなのかなあ。Kernelを7系に上げたら改善するんだろうか。