sysmon跟osqueryd的log拋到alloy loki

osQuery 是「狀態查詢」

Sysmon 是「行為監控」只負責記錄
用 Sysmon 抓取即時的攻擊（如行程注入）

用 osQuery 定期稽核系統配置與殘留的惡意檔案

寫一下架構，其他的要消化一下，改天再寫

先安裝sysmon

https://learn.microsoft.com/zh-tw/sysinternals/downloads/sysmon

sysmon設定檔要套用這個專案的

https://github.com/olafhartong/sysmon-modular

跟osQuery

https://osquery.io/

下載windows的安裝檔

安裝alloy支援的windows的代理

編輯osquery.conf

讓它把log跟sysmon的log透過alloy拋到loki

osquery的部分怪怪的，是可以拋log但要了解一下，要如何觸發產生log的規則

我有模擬攻擊，有觸發

Havoc C2-docker

Havoc_Project/Havoc

Havoc_Project/Dockerfile

Havoc_Project/docker-compose.yml

Havoc_Project/profiles/havoc.yaotl

git clone https://github.com/HavocFramework/Havoc.git cd Havoc #自行下載

Client端請自行架設

--------------------------------------------------------------------------------------------------------

snort3搭配Promtail拋json到loki

我改用snort3搭配Promtail拋json到loki就成功了

Promtail跟snort3都安裝在kali-linux上

snort3的安裝跟設定方式略過，參考snort3 alloy loki 那一篇

安裝promtail跟設定

CVE-2026-31431的修補方式

 POC驗證腳本，這是本地權限提升 (LPE)漏洞，修改記憶體內容，達成越權

這個用snort3這種網路型的IDS沒用，要用HIDS或EDR才偵測的到

https://github.com/theori-io/copy-fail-CVE-2026-31431

snort3 alloy loki grafana 傳遞alert_json

測試完成重寫，alloy好像有比較快，還是錯覺

看來看去Promtail跟alloy真的很像，所以就測試成功了

用snort3搭配alloy拋json到loki

alloy跟snort3都安裝在kali-linux上