Zatiaľ čo Microsoft primárne vyrába aplikácie a služby navrhnutý na použitie s vaším vlastným systémom operačný systém Windows, rokov spoločnosť osvojil si nielen macOS, ale aj Linux. Po nedávnom spustení podsystému Windows pre Linux v obchode Windows 11 spoločnosť Microsoft práve vydala ďalší zo svojich nástrojov pre používateľov Linuxu.
A Microsoft práve vydal verziu Sysmon pre Linux, nástroj na monitorovanie systému Windows. Sysmon je jednoducho jedným z nástrojov v kolekcii Sysinternals spravovanej spoločnosťou Microsoft, ktorá používateľom dáva možnosť monitorovať systémy, či nevykazujú známky podozrivej aktivity, ktorú je možné následne zaprotokolovať.
Ide o vysoko konfigurovateľný nástroj, ktorý si môžu správcovia systému prispôsobiť, aby našli veľmi špecifické typy činností, ktoré môžu byť znepokojujúce.
O Sysmon System Monitor
Pre tých, ktorí nepoznajú Sysmon, mali by ste vedieť, že toto je to program, ktorý sa inštaluje ako systémová služba a beží aj po následných reštartoch.
Umožňuje sledovanie a zaznamenávanie aktivity systému v denníku udalostí Windows a poskytuje podrobné informácie o vytváraní procesov, sieťových pripojení, vytváraní a úprave súborov. Skúmaním udalostí generovaných systémom Sysmon na používanom stroji môže správca identifikovať anomálnu alebo škodlivú aktivitu, pochopiť, ako bol systém používaný, pochopiť, ako narušovatelia pôsobili na systém.
Linuxová verzia Sysmon má ďaleko od jedinečného nástroja, a zisťuje, že sa snaží získať pozornosť v už aj tak rušnej oblasti. Medzi správcami systému však nájdete fanatikov, ktorí už používajú Sysmon pre Windows a netrpezlivo čakali na linuxový port pre použitie na iných systémoch.
Každý, kto chce začať s nástrojom, bude musieť vedieť, ako kompilovať binárne súbory Linuxu, ale to by nemalo byť prekážkou pre cieľové publikum nástroja. Mark Russinovich, tvorca balíka, na oslavu povedal, že Sysinternals je teraz možné stiahnuť cez winget alebo Microsoft Store. Ako už viete, Sysmon bol práve vydaný pre Linux s otvoreným zdrojovým kódom.
Ako nainštalovať Sysmon na Linux?
Verzia pre Linux vyžaduje inštaláciu SysinternalsEBPF a následne kompiláciu nástroja používateľom. Pokyny na to nájdete na stránke Sysmon na GitHub.
Napríklad nástroj má v Ubuntu pomerne jednoduchý spôsob inštalácie, pretože na jeho inštaláciu stačí otvoriť terminál a zadať:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
Zatiaľ čo pre Debian 11:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
Alebo v prípade Fedory 34:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
Po dokončení inštalácie začne Sysmon for Linux zaznamenávať systémové aktivity do / var / log / syslog. Niektoré udalosti zaznamenané nástrojom sa nevzťahujú na Linux. Dobrou správou je, že Sysmon je možné nakonfigurovať tak, aby zaznamenával iba to, čo správca považuje za relevantné.
Môžete spustiť program a získať syntax pre použiteľné príkazy. Ak to chcete urobiť, jednoducho napíšu:
sysmon -h
Potom môžete prijať podmienky používania zadaním
sysmon -accepteula
Sysmon je výkonný nástroj, ktorý sa už dlho používa v systéme Windows na zdôraznenie príčin abnormálneho správania zisteného na úrovni aplikácie alebo v rámci lokálnej siete.
Konečne Ak máte záujem dozvedieť sa viac, môžete skontrolovať podrobnosti Na nasledujúcom odkaze.