Microsoft udgav open source-versionen af ​​Sysmon System Monitor til Linux

Darkcrizt

4 minutter

Mens Microsoft primært producerer applikationer og tjenester designet at bruge med dit eget system Windows betjening, gennem årene virksomheden har vedtaget ikke kun macOS, men også Linux. Efter for nylig at have lanceret Windows-undersystemet til Linux i Windows 11-butikken, har Microsoft netop udgivet endnu et af sine værktøjer til Linux-brugere.

Og er, at Microsoft netop har frigivet en version til Linux af Sysmon, Windows-systemovervågningsværktøjet. Sysmon er simpelthen et af værktøjerne i Sysinternals-samlingen, der vedligeholdes af Microsoft, hvilket giver brugerne mulighed for at overvåge systemer for tegn på mistænkelig aktivitet, som derefter kan logges.

Dette er et meget konfigurerbart værktøj, som systemadministratorer kan tilpasse for at finde meget specifikke typer aktiviteter, der kan være til bekymring.

Om Sysmon System Monitor

For dem, der ikke er bekendt med Sysmon, bør du vide, at dette det er et program, der er installeret som en systemtjeneste og den fortsætter med at køre selv efter efterfølgende genstarter.

Tillader overvågning og registrering af systemaktivitet i hændelsesloggen Windows og giver detaljerede oplysninger om oprettelse af processer, netværksforbindelser, oprettelse og ændring af filer. Ved at undersøge de hændelser, der er genereret af Sysmon på maskinen i brug, kan en administrator identificere unormal eller ondsindet aktivitet, forstå, hvordan systemet blev brugt, forstå, hvordan ubudne gæster handlede på systemet.

Linux-versionen af ​​Sysmon er langt fra et unikt værktøj, og han kæmper for at få opmærksomhed i et allerede travlt felt. Du vil dog finde fans blandt systemadministratorer, der allerede bruger Sysmon til Windows og spændt har ventet på en Linux-port til brug på andre systemer.

Enhver, der ønsker at komme i gang med værktøjet, skal vide, hvordan man kompilerer Linux-binære filer, men det burde ikke være en hindring for værktøjets målgruppe. Til fejring sagde Mark Russinovich, skaberen af ​​pakken, at Sysinternals nu kan downloades via winget eller Microsoft Store. Som du allerede ved, er Sysmon netop blevet frigivet til Linux med åben kildekode.

Hvordan installeres Sysmon på Linux?

Linux-versionen kræver installation af SysinternalsEBPF og derefter kompilering af værktøjet af brugeren. Instruktioner til dette er på Sysmon-siden på GitHub.

For eksempel har værktøjet en ret simpel installationsmetode i Ubuntu, da for at installere det skal du blot åbne en terminal og skrive:

wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev

sudo apt-get update
sudo apt-get install sysmonforlinux

Mens til Debian 11:

wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list

sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux

Eller i tilfælde af Fedora 34:

sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux

Når installationen er fuldført, begynder Sysmon til Linux at logge systemaktiviteter i / var / log / syslog. Nogle af de hændelser, der logges af værktøjet, gælder ikke for Linux. Den gode nyhed er, at Sysmon kan konfigureres til kun at registrere, hvad administratoren anser for relevant.

Du kan starte programmet og få syntaksen for brugbare kommandoer. For at gøre dette skriver de blot:

sysmon -h

Du kan derefter acceptere vilkårene for brug ved at skrive

sysmon -accepteula

Sysmon er et kraftfuldt værktøj, der længe har været brugt i Windows til at fremhæve årsagerne til unormal adfærd, der er opdaget på applikationsniveau eller inden for det lokale netværk.

Endelig Hvis du er interesseret i at vide mere om det, du kan kontrollere detaljerne I det følgende link.


Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.