Zatímco Microsoft primárně vyrábí aplikace a služby navržen pro použití s vaším vlastním systémem operační systém Windows, v průběhu let společnost přijal nejen macOS, ale i Linux. Po nedávném spuštění Windows Subsystem for Linux v obchodě Windows 11 Microsoft právě vydal další ze svých nástrojů pro uživatele Linuxu.
A Microsoft právě vydal verzi Sysmon pro Linux, nástroj pro monitorování systému Windows. Sysmon je jednoduše jedním z nástrojů v kolekci Sysinternals spravované společností Microsoft a dává uživatelům možnost monitorovat systémy, zda nevykazují známky podezřelé aktivity, kterou lze následně zaprotokolovat.
Jedná se o vysoce konfigurovatelný nástroj, který mohou správci systému přizpůsobit tak, aby našli velmi specifické typy činností, které mohou být znepokojivé.
O nástroji Sysmon System Monitor
Pro ty, kteří neznají Sysmon, měli byste vědět, že toto je to program, který se instaluje jako systémová služba a běží i po následném restartu.
Umožňuje sledování a záznam aktivity systému v protokolu událostí Windows a poskytuje podrobné informace o vytváření procesů, síťových připojeních, vytváření a úpravách souborů. Zkoumáním událostí generovaných systémem Sysmon na používaném počítači může správce identifikovat anomální nebo škodlivou aktivitu, porozumět tomu, jak byl systém používán, a porozumět tomu, jak vetřelci na systém působili.
Linuxová verze Sysmon má daleko k jedinečné utilitě, a zjistí, že se snaží získat pozornost v již tak rušném oboru. Mezi správci systému však najdete fanatiky, kteří již používají Sysmon pro Windows a netrpělivě čekali na linuxový port pro použití na jiných systémech.
Každý, kdo chce s nástrojem začít, bude muset vědět, jak kompilovat binární soubory Linuxu, ale to by nemělo být překážkou pro cílové publikum nástroje. Mark Russinovich, tvůrce balíčku, na oslavu řekl, že Sysinternals lze nyní stáhnout přes winget nebo Microsoft Store. Jak již víte, Sysmon byl právě vydán pro Linux s otevřeným zdrojovým kódem.
Jak nainstalovat Sysmon na Linux?
Verze pro Linux vyžaduje instalaci SysinternalsEBPF a poté kompilaci nástroje uživatelem. Pokyny k tomu jsou na stránce Sysmon na GitHubu.
Nástroj má například v Ubuntu poměrně jednoduchý způsob instalace, protože jej nainstalujete tak, že otevřete terminál a napíšete:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
Zatímco pro Debian 11:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
Nebo v případě Fedory 34:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
Po dokončení instalace začne Sysmon for Linux protokolovat systémové aktivity do / var / log / syslog. Některé události zaznamenané nástrojem se nevztahují na Linux. Dobrou zprávou je, že Sysmon lze nakonfigurovat tak, aby zaznamenával pouze to, co správce považuje za relevantní.
Můžete spustit program a získat syntaxi pro použitelné příkazy. K tomu jednoduše napíšou:
sysmon -h
Poté můžete přijmout podmínky použití zadáním
sysmon -accepteula
Sysmon je výkonný nástroj, který se ve Windows již dlouho používá ke zdůraznění příčin abnormálního chování zjištěného na úrovni aplikace nebo v rámci místní sítě.
Konečně Máte-li zájem o tom vědět více, můžete zkontrolovat podrobnosti Na následujícím odkazu.