Dok Microsoft prvenstveno proizvodi aplikacije i usluge dizajniran koristiti s vlastitim sustavom Windows operativni, tijekom godina tvrtka je usvojio ne samo macOS nego i Linux. Nakon što je nedavno lansirao podsustav Windows za Linux u Windows 11 trgovini, Microsoft je upravo izdao još jedan od svojih alata za korisnike Linuxa.
Da li je Microsoft upravo izdao verziju Sysmona za Linux, alat za nadzor sustava Windows. Sysmon je jednostavno jedan od alata u kolekciji Sysinternals koju održava Microsoft, dajući korisnicima mogućnost praćenja sustava za znakove sumnjive aktivnosti koje se zatim mogu zabilježiti.
Ovo je vrlo podesiv alat koji administratori sustava mogu prilagoditi kako bi pronašli vrlo specifične vrste aktivnosti koje bi mogle biti zabrinjavajuće.
O Sysmon System Monitoru
Za one koji nisu upoznati sa Sysmonom, trebali biste znati da je ovo to je program koji se instalira kao servisni servis i nastavlja raditi čak i nakon naknadnog ponovnog pokretanja.
Omogućuje praćenje i bilježenje aktivnosti sustava u dnevniku događaja Windows i pruža detaljne informacije o stvaranju procesa, mrežnim vezama, stvaranju i mijenjanju datoteka. Ispitujući događaje koje je generirao Sysmon na računalu u upotrebi, administrator može identificirati anomalnu ili zlonamjernu aktivnost, razumjeti kako je sustav korišten, razumjeti kako su uljezi djelovali na sustav.
Linux verzija Sysmona daleko je od jedinstvenog uslužnog programa, a on se bori da pridobije pozornost na već užurbanom polju. Međutim, među administratorima sustava pronaći ćete fanatike koji već koriste Sysmon za Windows i željno čekaju Linux port za korištenje na drugim sustavima.
Svatko tko želi započeti s uslužnim programom morat će znati kako kompajlirati Linux binarne datoteke, ali to ne bi trebala biti prepreka za ciljnu publiku alata. U slavlju, Mark Russinovich, kreator paketa, rekao je da se Sysinternals sada može preuzeti putem wingeta ili Microsoft Storea. Također, kao što već znate, Sysmon je upravo izašao za Linux, s otvorenim izvornim kodom.
Kako instalirati Sysmon na Linux?
Verzija za Linux zahtijeva instalaciju SysinternalsEBPF-a i zatim kompilaciju alata od strane korisnika. Upute za to nalaze se na Sysmon stranici na GitHubu.
Na primjer, alat ima prilično jednostavnu metodu instalacije u Ubuntu, jer da biste ga instalirali, samo otvorite terminal i upišite:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
Dok za Debian 11:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
Ili u slučaju Fedore 34:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
Nakon dovršetka instalacije, Sysmon za Linux počinje bilježiti aktivnosti sustava u / var / log / syslog. Neki od događaja koje je zabilježio alat ne odnose se na Linux. Dobra vijest je da se Sysmon može konfigurirati da snima samo ono što administrator smatra relevantnim.
Možete pokrenuti program i dobiti sintaksu upotrebljivih naredbi. Da bi to učinili, jednostavno moraju upisati:
sysmon -h
Tada možete prihvatiti uvjete korištenja upisivanjem
sysmon -accepteula
Sysmon je moćan alat koji se dugo koristi u sustavu Windows za isticanje uzroka abnormalnog ponašanja otkrivenog na razini aplikacije ili unutar lokalne mreže.
Konačno Ako vas zanima više o tome, možete provjeriti detalje U sljedećem linku.