În timp ce Microsoft produce în principal aplicații și servicii proiectat pentru a utiliza cu propriul sistem funcționează Windows, de-a lungul anilor compania a adoptat nu numai macOS, ci și Linux. După ce a lansat recent subsistemul Windows pentru Linux în magazinul Windows 11, Microsoft tocmai a lansat un alt instrument pentru utilizatorii Linux.
Și este că Microsoft tocmai a lansat o versiune pentru Linux de Sysmon, instrumentul de monitorizare a sistemului Windows. Sysmon este pur și simplu unul dintre instrumentele din colecția Sysinternals întreținută de Microsoft, oferind utilizatorilor posibilitatea de a monitoriza sistemele pentru semne de activitate suspectă care pot fi apoi înregistrate.
Acesta este un instrument extrem de configurabil pe care administratorii de sistem îl pot personaliza pentru a găsi tipuri foarte specifice de activitate care ar putea fi de îngrijorare.
Despre Sysmon System Monitor
Pentru cei care nu sunt familiarizați cu Sysmon, ar trebui să știți că acest lucru este un program care este instalat ca serviciu de sistem și continuă să ruleze chiar și după repornirile ulterioare.
Permite monitorizarea și înregistrarea activității sistemului în jurnalul de evenimente Windows și oferă informații detaliate despre crearea proceselor, conexiunile la rețea, crearea și modificarea fișierelor. Examinând evenimentele generate de Sysmon pe mașina în uz, un administrator poate identifica activitatea anormală sau rău intenționată, poate înțelege cum a fost utilizat sistemul, poate înțelege cum au acționat intrușii asupra sistemului.
Versiunea Linux a Sysmon este departe de a fi un utilitar unic, și se trezește că se luptă să atragă atenția într-un domeniu deja ocupat. Cu toate acestea, veți găsi fani printre administratorii de sistem care folosesc deja Sysmon pentru Windows și au așteptat cu nerăbdare un port Linux pe care să îl folosească pe alte sisteme.
Oricine dorește să înceapă cu utilitarul va trebui să știe cum să compileze binare Linux, dar asta nu ar trebui să fie un obstacol pentru publicul țintă al instrumentului. Pentru a sărbători, Mark Russinovich, creatorul pachetului, a spus că Sysinternals pot fi descărcate acum prin winget sau Microsoft Store. De asemenea, după cum știți deja, Sysmon tocmai a fost lansat pentru Linux, cu cod sursă deschis.
Cum se instalează Sysmon pe Linux?
Versiunea Linux necesită instalarea SysinternalsEBPF și apoi compilarea instrumentului de către utilizator. Instrucțiunile pentru aceasta se găsesc pe pagina Sysmon de pe GitHub.
De exemplu, instrumentul are o metodă de instalare destul de simplă în Ubuntu, deoarece pentru a-l instala, trebuie doar să deschideți un terminal și să tastați:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
În timp ce pentru Debian 11:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
Sau în cazul Fedora 34:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
După finalizarea instalării, Sysmon pentru Linux începe să înregistreze activitățile sistemului în / var / log / syslog. Unele dintre evenimentele înregistrate de instrument nu se aplică pentru Linux. Vestea bună este că Sysmon poate fi configurat să înregistreze doar ceea ce administratorul consideră relevant.
Puteți porni programul și puteți obține sintaxa comenzilor utilizabile. Pentru a face acest lucru, ei pur și simplu tastați:
sysmon -h
Apoi, puteți accepta termenii de utilizare tastând
sysmon -accepteula
Sysmon este un instrument puternic care a fost folosit de mult timp în Windows pentru a evidenția cauzele comportamentului anormal detectat la nivelul aplicației sau în cadrul rețelei locale.
În cele din urmă Dacă sunteți interesat să aflați mai multe despre asta, puteți verifica detaliile În următorul link.