Während Microsoft hauptsächlich Anwendungen und Dienste herstellt entworfen zur Verwendung mit Ihrem eigenen System Windows-Betrieb, über die Jahre Unternehmen hat nicht nur macOS, sondern auch Linux übernommen. Nachdem Microsoft kürzlich das Windows-Subsystem für Linux im Windows 11 Store gestartet hat, hat Microsoft gerade ein weiteres seiner Tools für Linux-Benutzer veröffentlicht.
Und ist, dass Microsoft gerade eine Version von Sysmon für Linux veröffentlicht hat, das Windows-Systemüberwachungstool. Sysmon ist einfach eines der Tools in der Sysinternals-Sammlung, die von Microsoft verwaltet wird und Benutzern die Möglichkeit gibt, Systeme auf Anzeichen verdächtiger Aktivitäten zu überwachen, die dann protokolliert werden können.
Dies ist ein hochgradig konfigurierbares Tool, das Systemadministratoren anpassen können, um sehr spezifische Aktivitätstypen zu finden, die möglicherweise von Bedeutung sind.
Über Sysmon System Monitor
Für diejenigen, die mit Sysmon nicht vertraut sind, sollten Sie wissen, dass dies Es ist ein Programm, das als Systemdienst installiert wird und es läuft auch nach nachfolgenden Neustarts weiter.
Ermöglicht die Überwachung und Aufzeichnung der Systemaktivität im Ereignisprotokoll Windows und bietet detaillierte Informationen zum Erstellen von Prozessen, Netzwerkverbindungen, Erstellen und Ändern von Dateien. Durch die Untersuchung der von Sysmon auf dem verwendeten Computer generierten Ereignisse kann ein Administrator anomale oder bösartige Aktivitäten erkennen, verstehen, wie das System verwendet wurde und wie Eindringlinge auf das System vorgegangen sind.
Die Linux-Version von Sysmon ist alles andere als ein einzigartiges Dienstprogramm, und er hat Mühe, in einem bereits geschäftigen Feld Aufmerksamkeit zu erregen. Fans finden Sie jedoch unter Systemadministratoren, die bereits Sysmon für Windows einsetzen und sehnsüchtig auf eine Linux-Portierung für den Einsatz auf anderen Systemen gewartet haben.
Jeder, der mit dem Dienstprogramm beginnen möchte, muss wissen, wie man Linux-Binärdateien kompiliert, aber das sollte für die Zielgruppe des Tools kein Hindernis sein. Zur Feier sagte Mark Russinovich, der Schöpfer des Pakets, dass Sysinternals jetzt über das Winget oder den Microsoft Store heruntergeladen werden können. Außerdem wurde Sysmon, wie Sie bereits wissen, gerade für Linux mit Open-Source-Code veröffentlicht.
Wie installiere ich Sysmon unter Linux?
Die Linux-Version erfordert die Installation von SysinternalsEBPF und anschließend die Kompilierung des Tools durch den Benutzer. Anweisungen dazu finden Sie auf der Sysmon-Seite auf GitHub.
Zum Beispiel verfügt das Tool in Ubuntu über eine ziemlich einfache Installationsmethode, da Sie zur Installation einfach ein Terminal öffnen und Folgendes eingeben:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
Während für Debian 11:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
Oder im Fall von Fedora 34:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
Nach Abschluss der Installation beginnt Sysmon für Linux mit der Protokollierung der Systemaktivitäten in /var/log/syslog. Einige der vom Tool protokollierten Ereignisse gelten nicht für Linux. Die gute Nachricht ist, dass Sysmon so konfiguriert werden kann, dass nur das aufgezeichnet wird, was der Administrator für relevant hält.
Sie können das Programm starten und die Syntax der verwendbaren Befehle abrufen. Dazu müssen sie lediglich Folgendes eingeben:
sysmon -h
Sie können dann die Nutzungsbedingungen durch Eingabe akzeptieren
sysmon -accepteula
Sysmon ist ein leistungsstarkes Tool, das seit langem in Windows verwendet wird, um die Ursachen für erkanntes anomales Verhalten auf Anwendungsebene oder innerhalb des lokalen Netzwerks aufzuzeigen.
Schließlich Wenn Sie mehr darüber erfahren möchten, Sie können die Details überprüfen im folgenden Link.