Kuigi Microsoft toodab peamiselt rakendusi ja teenuseid disainitud kasutada oma süsteemiga Windows töötab, aastate jooksul ettevõte on kasutusele võtnud mitte ainult macOS-i, vaid ka Linuxi. Pärast Windowsi alamsüsteemi Linuxi jaoks hiljutist käivitamist Windows 11 poes avaldas Microsoft just ühe Linuxi kasutajatele mõeldud tööriista.
Ja kas Microsoft on just välja andnud Sysmoni Linuxi versiooni, Windowsi süsteemi jälgimise tööriist. Sysmon on lihtsalt üks Microsofti hallatava Sysinternalsi kollektsiooni tööriistu, mis annab kasutajatele võimaluse jälgida süsteeme kahtlase tegevuse tunnuste suhtes, mida saab seejärel logida.
See on hästi konfigureeritav tööriist, mida süsteemiadministraatorid saavad kohandada, et leida väga spetsiifilisi tegevusi, mis võivad muret tekitada.
Teave Sysmon System Monitori kohta
Need, kes Sysmonit ei tunne, peaksid teadma, et see see on programm, mis installitakse süsteemiteenusena ja see töötab ka pärast järgnevaid taaskäivitusi.
Võimaldab jälgida ja salvestada süsteemi tegevust sündmuste logisse Windows ja pakub üksikasjalikku teavet protsesside loomise, võrguühenduste, failide loomise ja muutmise kohta. Uurides Sysmoni poolt kasutatavas masinas genereeritud sündmusi, saab administraator tuvastada anomaalse või pahatahtliku tegevuse, mõista, kuidas süsteemi kasutati, mõista, kuidas sissetungijad süsteemi käitusid.
Sysmoni Linuxi versioon pole kaugeltki ainulaadne utiliit, ja tal on raskusi tähelepanu võitmisega niigi hõivatud valdkonnas. Fänne leiab aga süsteemiadministraatorite seast, kes juba kasutavad Sysmoni for Windowsi ja on pikisilmi oodanud Linuxi porti, mida teistes süsteemides kasutada.
Igaüks, kes soovib utiliidi kasutama hakata, peab teadma, kuidas Linuxi binaarfaile kompileerida, kuid see ei tohiks tööriista sihtrühmale takistuseks olla. Paketi looja Mark Russinovitš ütles tähistamiseks, et Sysinternalsi saab nüüd alla laadida wingeti või Microsoft Store'i kaudu. Samuti, nagu te juba teate, ilmus Sysmon äsja avatud lähtekoodiga Linuxile.
Kuidas Sysmoni Linuxi installida?
Linuxi versioon nõuab SysinternalsEBPF installimist ja seejärel tööriista kompileerimist kasutaja poolt. Juhised selle kohta on GitHubi Sysmoni lehel.
Näiteks on tööriistal Ubuntus üsna lihtne installimeetod, kuna selle installimiseks avage lihtsalt terminal ja tippige:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
Debian 11 puhul:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
Või Fedora 34 puhul:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
Pärast installimise lõpetamist alustab Sysmon for Linux süsteemitegevuste logimist kaustas / var / log / syslog. Mõned tööriista poolt logitud sündmused ei kehti Linuxi puhul. Hea uudis on see, et Sysmoni saab konfigureerida salvestama ainult seda, mida administraator vajalikuks peab.
Saate käivitada programmi ja hankida kasutatavate käskude süntaksi. Selleks peavad nad lihtsalt sisestama:
sysmon -h
Seejärel saate trükkides kasutustingimustega nõustuda
sysmon -accepteula
Sysmon on võimas tööriist, mida on Windowsis pikka aega kasutatud, et tuua esile tuvastatud anomaalse käitumise põhjused rakenduse tasemel või kohalikus võrgus.
Lõpuks Kui soovite sellest rohkem teada saada, saate üksikasju kontrollida Järgmisel lingil.