Míg a Microsoft elsősorban alkalmazásokat és szolgáltatásokat gyárt tervezett használni a saját rendszerével Windows operációs rendszer, az évek alatt a vállalat nemcsak a macOS-t, hanem a Linuxot is átvette. Miután a közelmúltban elindította a Windows alrendszert Linuxhoz a Windows 11 áruházban, a Microsoft nemrégiben kiadott egy újabb eszközt a Linux felhasználók számára.
És hogy a Microsoft most adott ki egy verziót a Sysmon Linuxra, a Windows rendszerfigyelő eszköz. A Sysmon egyszerűen a Microsoft által karbantartott Sysinternals gyűjtemény egyik eszköze, amely lehetővé teszi a felhasználók számára, hogy figyeljék a rendszereket a gyanús tevékenységekre utaló jelek után, amelyeket aztán naplózni lehet.
Ez egy nagymértékben konfigurálható eszköz, amelyet a rendszergazdák testre szabhatnak, hogy megtalálják az aggodalomra okot adó nagyon konkrét típusú tevékenységeket.
A Sysmon System Monitorról
Azok számára, akik nem ismerik a Sysmont, tudniuk kell, hogy ez ez egy rendszerszolgáltatásként telepített program és a későbbi újraindítások után is fut.
Lehetővé teszi a rendszertevékenység figyelését és rögzítését az eseménynaplóban Windows és részletes információkat nyújt a folyamatok létrehozásáról, a hálózati kapcsolatokról, valamint a fájlok létrehozásáról és módosításáról. A Sysmon által a használt gépen generált események vizsgálatával a rendszergazda azonosíthatja a rendellenes vagy rosszindulatú tevékenységeket, megértheti, hogyan használták a rendszert, megértheti, hogyan jártak el a behatolók a rendszeren.
A Sysmon linuxos verziója messze nem egyedülálló segédprogram, és azon kapja magát, hogy nehezen vonzza magára a figyelmet egy amúgy is forgalmas területen. Azonban találni fanatikusokat a rendszergazdák között, akik már használják a Sysmon for Windows-t, és alig várják, hogy egy Linux-port más rendszereken is használható legyen.
Aki el akarja kezdeni a segédprogramot, annak tudnia kell a Linux binárisok fordítását, de ez nem jelenthet akadályt az eszköz célközönsége számára. Mark Russinovich, a csomag készítője ennek örömére elmondta, hogy a Sysinternals mostantól letölthető a wingeten vagy a Microsoft Store-on keresztül. Továbbá, amint azt már tudod, a Sysmon nemrég jelent meg Linuxra, nyílt forráskóddal.
Hogyan telepítsem a Sysmon-t Linuxra?
A Linux verzióhoz a SysinternalsEBPF telepítése, majd az eszköz felhasználó általi fordítása szükséges. Az erre vonatkozó utasítások a GitHub Sysmon oldalán találhatók.
Például az eszköznek van egy meglehetősen egyszerű telepítési módja az Ubuntuban, mivel a telepítéshez csak nyisson meg egy terminált, és írja be:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
Debian 11 esetén:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
Vagy a Fedora 34 esetében:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
A telepítés befejezése után a Sysmon for Linux megkezdi a rendszertevékenységek naplózását a / var / log / syslog mappában. Az eszköz által naplózott események egy része nem vonatkozik Linuxra. A jó hír az, hogy a Sysmon beállítható úgy, hogy csak azt rögzítse, amit a rendszergazda relevánsnak tart.
Elindíthatja a programot, és lekérheti a használható parancsok szintaxisát. Ehhez egyszerűen be kell írniuk:
sysmon -h
Ezután gépeléssel elfogadhatja a használati feltételeket
sysmon -accepteula
A Sysmon egy hatékony eszköz, amelyet régóta használnak a Windows rendszerben az alkalmazás szintjén vagy a helyi hálózaton belül észlelt rendellenes viselkedés okainak kiemelésére.
Végül Ha érdekel, hogy többet tudjon meg róla, ellenőrizheti a részleteket A következő linken.