Dok Microsoft prvenstveno proizvodi aplikacije i usluge dizajniran za korištenje sa vašim vlastitim sistemom Windows operativni, tokom godina the company je usvojio ne samo macOS već i Linux. Nakon što je nedavno lansirao Windows podsistem za Linux u Windows 11 prodavnici, Microsoft je upravo objavio još jedan od svojih alata za korisnike Linuxa.
I da li je Microsoft upravo objavio verziju Sysmona za Linux, alat za nadgledanje sistema Windows. Sysmon je jednostavno jedan od alata u kolekciji Sysinternals koju održava Microsoft, dajući korisnicima mogućnost da nadgledaju sisteme u potrazi za znakovima sumnjivih aktivnosti koje se zatim mogu evidentirati.
Ovo je vrlo konfigurabilan alat koji administratori sistema mogu prilagoditi kako bi pronašli vrlo specifične vrste aktivnosti koje mogu biti od značaja.
O Sysmon System Monitoru
Za one koji nisu upoznati sa Sysmonom, trebali biste znati da je ovo to je program koji se instalira kao sistemski servis i nastavlja da radi čak i nakon naknadnog ponovnog pokretanja.
Omogućava praćenje i snimanje aktivnosti sistema u evidenciji događaja Windows i pruža detaljne informacije o kreiranju procesa, mrežnim vezama, kreiranju i modificiranju datoteka. Ispitujući događaje koje Sysmon generiše na mašini u upotrebi, administrator može da identifikuje anomalnu ili zlonamernu aktivnost, razume kako je sistem korišćen, razume kako su uljezi delovali na sistemu.
Linux verzija Sysmona daleko je od jedinstvenog uslužnog programa, i on se bori da pridobije pažnju na već zauzetom polju. Međutim, naći ćete fanatike među sistemskim administratorima koji već koriste Sysmon za Windows i željno čekaju da se Linux port koristi na drugim sistemima.
Svako ko želi da počne sa uslužnim programom moraće da zna kako da kompajlira Linux binarne datoteke, ali to ne bi trebalo da bude prepreka za ciljnu publiku ovog alata. U slavlju, Mark Russinovich, kreator paketa, rekao je da se Sysinternals sada može preuzeti putem wingeta ili Microsoft Store-a. Takođe, kao što već znate, Sysmon je upravo izašao za Linux, sa otvorenim izvornim kodom.
Kako instalirati Sysmon na Linux?
Verzija za Linux zahtijeva instalaciju SysinternalsEBPF, a zatim kompilaciju alata od strane korisnika. Uputstva za to su na Sysmon stranici na GitHubu.
Na primjer, alat ima prilično jednostavnu metodu instalacije u Ubuntu, jer da biste ga instalirali, samo otvorite terminal i upišite:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
Dok za Debian 11:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
Ili u slučaju Fedora 34:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
Nakon što je instalacija završena, Sysmon za Linux počinje evidentirati sistemske aktivnosti u / var / log / syslog. Neki od događaja koje je zabilježio alat ne odnose se na Linux. Dobra vijest je da se Sysmon može konfigurirati da snima samo ono što administrator smatra relevantnim.
Možete pokrenuti program i dobiti sintaksu upotrebljivih naredbi. Da bi to uradili, jednostavno moraju da ukucaju:
sysmon -h
Tada možete prihvatiti uslove korištenja tako što ćete ukucati
sysmon -accepteula
Sysmon je moćan alat koji se dugo koristi u Windows-u za isticanje uzroka abnormalnog ponašanja otkrivenog na nivou aplikacije ili unutar lokalne mreže.
Konačno Ako ste zainteresirani da saznate više o tome, možete provjeriti detalje Na sledećem linku.