Vaikka Microsoft tuottaa ensisijaisesti sovelluksia ja palveluita suunniteltu käytettäväksi oman järjestelmän kanssa Windows toimii, vuosien varrella yritys on ottanut käyttöön macOS:n lisäksi myös Linuxin. Julkistettuaan äskettäin Windows-alijärjestelmän Linux-käyttöjärjestelmässä Windows 11 -kaupassa, Microsoft on juuri julkaissut toisen työkalunsa Linux-käyttäjille.
Ja onko Microsoft juuri julkaissut version Linuxille Sysmonista, Windowsin järjestelmän valvontatyökalu. Sysmon on yksinkertaisesti yksi Microsoftin ylläpitämän Sysinternals-kokoelman työkaluista, mikä antaa käyttäjille mahdollisuuden tarkkailla järjestelmiä epäilyttävän toiminnan merkkejä, jotka voidaan sitten kirjata.
Tämä on hyvin konfiguroitava työkalu, jota järjestelmänvalvojat voivat mukauttaa löytääkseen tietyntyyppisiä toimintoja, jotka voivat olla huolestuttavia.
Tietoja Sysmon System Monitorista
Niiden, jotka eivät tunne Sysmonia, sinun pitäisi tietää, että tämä se on ohjelma, joka asennetaan järjestelmäpalveluna ja se jatkaa käynnissä jopa myöhempien uudelleenkäynnistysten jälkeen.
Mahdollistaa järjestelmän toiminnan seurannan ja tallentamisen tapahtumalokiin Windows ja tarjoaa yksityiskohtaisia tietoja prosessien luomisesta, verkkoyhteyksistä, tiedostojen luomisesta ja muokkaamisesta. Tarkastelemalla Sysmonin generoimia tapahtumia käytössä olevalla koneella järjestelmänvalvoja voi tunnistaa poikkeavan tai haitallisen toiminnan, ymmärtää kuinka järjestelmää on käytetty ja miten tunkeilijat toimivat järjestelmään.
Sysmonin Linux-versio ei ole kaukana ainutlaatuisesta apuohjelmasta, ja hänellä on vaikeuksia saada huomiota jo ennestään kiireisellä alalla. Löydät kuitenkin faneja järjestelmänvalvojien joukosta, jotka jo käyttävät Sysmon for Windowsia ja ovat innokkaasti odottaneet Linux-porttia käytettäväksi muissa järjestelmissä.
Jokaisen, joka haluaa aloittaa apuohjelman käytön, on osattava kääntää Linuxin binaaritiedostoja, mutta sen ei pitäisi olla este työkalun kohdeyleisölle. Juhlan kunniaksi paketin luoja Mark Russinovich sanoi, että Sysinternals voidaan nyt ladata wingetin tai Microsoft Storen kautta. Lisäksi, kuten jo tiedät, Sysmon on juuri julkaistu Linuxille avoimella lähdekoodilla.
Kuinka asentaa Sysmon Linuxiin?
Linux-versio vaatii SysinternalsEBPF:n asennuksen ja sen jälkeen työkalun kääntämisen käyttäjän toimesta. Ohjeet tähän ovat GitHubin Sysmon-sivulla.
Esimerkiksi työkalulla on melko yksinkertainen asennustapa Ubuntussa, koska sen asentamiseksi avaa vain pääte ja kirjoita:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
Debian 11:ssä:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
Tai Fedora 34:n tapauksessa:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
Kun asennus on valmis, Sysmon for Linux alkaa kirjata järjestelmätoimintoja tiedostoon / var / log / syslog. Jotkut työkalun kirjaamista tapahtumista eivät koske Linuxia. Hyvä uutinen on, että Sysmon voidaan määrittää tallentamaan vain sen, mitä järjestelmänvalvoja pitää tarpeellisena.
Voit käynnistää ohjelman ja saada käyttökelpoisten komentojen syntaksin. Voit tehdä tämän kirjoittamalla:
sysmon -h
Tämän jälkeen voit hyväksyä käyttöehdot kirjoittamalla
sysmon -accepteula
Sysmon on tehokas työkalu, jota on käytetty pitkään Windowsissa sovellustasolla tai paikallisessa verkossa havaitun epänormaalin toiminnan syiden korostamiseen.
Vihdoin Jos haluat tietää enemmän siitä, voit tarkistaa yksityiskohdat Seuraavassa linkissä.