Lai gan Microsoft galvenokārt ražo lietojumprogrammas un pakalpojumus paredzēts izmantot ar savu sistēmu Windows operētājsistēma, gadu gaitā kompānija ir pieņēmusi ne tikai macOS, bet arī Linux. Pēc nesen Windows apakšsistēmas palaišanas operētājsistēmai Windows Windows 11 veikalā Microsoft tikko ir izlaidusi vēl vienu no saviem Linux lietotājiem paredzētajiem rīkiem.
Un vai Microsoft tikko ir izlaidusi Sysmon Linux versiju, Windows sistēmas uzraudzības rīks. Sysmon ir vienkārši viens no rīkiem Sysinternals kolekcijā, ko uztur Microsoft, sniedzot lietotājiem iespēju pārraudzīt sistēmas, vai tajās nav aizdomīgu darbību pazīmes, kuras pēc tam var reģistrēt.
Šis ir ļoti konfigurējams rīks, ko sistēmas administratori var pielāgot, lai atrastu ļoti konkrētus darbības veidus, kas varētu radīt bažas.
Par Sysmon System Monitor
Tiem, kas nav pazīstami ar Sysmon, jums jāzina, ka šis tā ir programma, kas tiek instalēta kā sistēmas pakalpojums un tas turpina darboties pat pēc sekojošas atsāknēšanas.
Ļauj uzraudzīt un reģistrēt sistēmas darbību notikumu žurnālā Windows un sniedz detalizētu informāciju par procesu izveidi, tīkla savienojumiem, failu izveidi un modificēšanu. Pārbaudot Sysmon ģenerētos notikumus izmantotajā iekārtā, administrators var identificēt anomālu vai ļaunprātīgu darbību, saprast, kā sistēma tika izmantota, saprast, kā iebrucēji darbojās sistēmā.
Sysmon Linux versija nebūt nav unikāla utilīta, un viņam ir grūti iegūt uzmanību jau tā aizņemtajā jomā. Tomēr jūs atradīsit cienītājus starp sistēmu administratoriem, kuri jau izmanto Sysmon for Windows un ar nepacietību gaida, kad Linux ports tiks izmantots citās sistēmās.
Ikvienam, kurš vēlas sākt lietot utilītu, būs jāzina, kā kompilēt Linux bināros failus, taču tas nedrīkst būt šķērslis rīka mērķauditorijai. Par godu pakotnes veidotājs Marks Russinovičs sacīja, ka Sysinternals tagad var lejupielādēt, izmantojot winget vai Microsoft Store. Turklāt, kā jūs jau zināt, Sysmon tikko tika izlaists operētājsistēmai Linux ar atvērtā pirmkoda kodu.
Kā instalēt Sysmon operētājsistēmā Linux?
Linux versijai ir jāinstalē SysinternalsEBPF un pēc tam lietotājam ir jāapkopo rīks. Norādījumi par to ir atrodami GitHub Sysmon lapā.
Piemēram, rīkam ir diezgan vienkārša instalēšanas metode Ubuntu, jo, lai to instalētu, vienkārši atveriet termināli un ierakstiet:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
Lai gan Debian 11:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
Vai Fedora 34 gadījumā:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
Kad instalēšana ir pabeigta, Sysmon for Linux sāk reģistrēt sistēmas darbības mapē / var / log / syslog. Daži no rīka reģistrētajiem notikumiem neattiecas uz Linux. Labā ziņa ir tā, ka Sysmon var konfigurēt, lai ierakstītu tikai to, ko administrators uzskata par atbilstošu.
Varat startēt programmu un iegūt izmantojamo komandu sintaksi. Lai to izdarītu, viņiem vienkārši jāievada:
sysmon -h
Pēc tam varat piekrist lietošanas noteikumiem, ierakstot
sysmon -accepteula
Sysmon ir jaudīgs rīks, kas jau sen tiek izmantots operētājsistēmā Windows, lai izceltu konstatētās anomālās darbības cēloņus lietojumprogrammu līmenī vai lokālajā tīklā.
Beidzot Ja jūs interesē uzzināt vairāk par to, jūs varat pārbaudīt informāciju Šajā saitē.