Microsoft ga ut åpen kildekode-versjonen av Sysmon System Monitor for Linux

Darkcrizt

4 minutter

Mens Microsoft primært produserer applikasjoner og tjenester designet å bruke med ditt eget system Windows-drift, med årene selskapet har tatt i bruk ikke bare macOS, men også Linux. Etter å nylig ha lansert Windows Subsystem for Linux i Windows 11-butikken, har Microsoft nettopp sluppet et annet av sine verktøy for Linux-brukere.

Og er at Microsoft nettopp har gitt ut en versjon for Linux av Sysmon, overvåkingsverktøyet for Windows. Sysmon er ganske enkelt et av verktøyene i Sysinternals-samlingen vedlikeholdt av Microsoft, og gir brukerne muligheten til å overvåke systemer for tegn på mistenkelig aktivitet som deretter kan logges.

Dette er et svært konfigurerbart verktøy som systemadministratorer kan tilpasse for å finne svært spesifikke typer aktiviteter som kan være til bekymring.

Om Sysmon System Monitor

For de som ikke er kjent med Sysmon, bør du vite at dette det er et program som er installert som en systemtjeneste og den fortsetter å kjøre selv etter påfølgende omstart.

Tillater overvåking og registrering av systemaktivitet i hendelsesloggen Windows og gir detaljert informasjon om hvordan du oppretter prosesser, nettverkstilkoblinger, oppretter og endrer filer. Ved å undersøke hendelsene generert av Sysmon på maskinen som er i bruk, kan en administrator identifisere uregelmessig eller ondsinnet aktivitet, forstå hvordan systemet ble brukt, forstå hvordan inntrengere handlet på systemet.

Linux-versjonen av Sysmon er langt fra et unikt verktøy, og han sliter med å få oppmerksomhet i et allerede travelt felt. Du vil imidlertid finne fans blant systemadministratorer som allerede bruker Sysmon for Windows og har ventet spent på at en Linux-port skal brukes på andre systemer.

Alle som vil begynne å bruke verktøyet, må vite hvordan man kompilerer Linux-binærfiler, men det burde ikke være et hinder for verktøyets målgruppe. For å feire sa Mark Russinovich, skaperen av pakken, at Sysinternals nå kan lastes ned via winget eller Microsoft Store. Også, som du allerede vet, har Sysmon nettopp blitt utgitt for Linux, med åpen kildekode.

Hvordan installerer jeg Sysmon på Linux?

Linux-versjonen krever installasjon av SysinternalsEBPF og deretter kompilering av verktøyet av brukeren. Instruksjoner for dette er på Sysmon-siden på GitHub.

For eksempel har verktøyet en ganske enkel installasjonsmetode i Ubuntu, siden for å installere det, bare åpne en terminal og skriv:

wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev

sudo apt-get update
sudo apt-get install sysmonforlinux

Mens for Debian 11:

wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list

sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux

Eller i tilfellet med Fedora 34:

sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux

Etter at installasjonen er fullført, begynner Sysmon for Linux å logge systemaktiviteter i / var / log / syslog. Noen av hendelsene som er logget av verktøyet, gjelder ikke for Linux. Den gode nyheten er at Sysmon kan konfigureres til å registrere kun det administratoren anser som relevant.

Du kan starte programmet og få syntaksen for brukbare kommandoer. For å gjøre dette må de bare skrive:

sysmon -h

Du kan deretter godta vilkårene for bruk ved å skrive

sysmon -accepteula

Sysmon er et kraftig verktøy som lenge har blitt brukt i Windows for å fremheve årsakene til oppdaget unormal oppførsel på applikasjonsnivå eller i det lokale nettverket.

Endelig Hvis du er interessert i å vite mer om det, kan du sjekke detaljene I den følgende lenken.


Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.