Medtem ko Microsoft proizvaja predvsem aplikacije in storitve zasnovan za uporabo z lastnim sistemom operacijski sistem Windows, skozi leta podjetje je sprejel ne samo macOS, ampak tudi Linux. Po nedavnem lansiranju podsistema Windows za Linux v trgovini Windows 11 je Microsoft pravkar izdal še eno od svojih orodij za uporabnike Linuxa.
In da je Microsoft pravkar izdal različico Sysmon za Linux, orodje za spremljanje sistema Windows. Sysmon je preprosto eno od orodij v zbirki Sysinternals, ki jo vzdržuje Microsoft, ki uporabnikom omogoča spremljanje sistemov glede znakov sumljive dejavnosti, ki jih je mogoče nato zabeležiti.
To je zelo nastavljivo orodje, ki ga lahko sistemski skrbniki prilagodijo, da najdejo zelo specifične vrste dejavnosti, ki bi lahko bile zaskrbljujoče.
O Sysmon System Monitorju
Za tiste, ki ne poznajo Sysmona, morate vedeti, da je to je program, ki je nameščen kot sistemska storitev in deluje tudi po naslednjih ponovnih zagonih.
Omogoča spremljanje in beleženje aktivnosti sistema v dnevniku dogodkov Windows in nudi podrobne informacije o ustvarjanju procesov, omrežnih povezavah, ustvarjanju in spreminjanju datotek. S pregledovanjem dogodkov, ki jih ustvari Sysmon na računalniku v uporabi, lahko skrbnik prepozna nenormalno ali zlonamerno dejavnost, razume, kako je bil sistem uporabljen, razume, kako so vsiljivci delovali v sistemu.
Različica Sysmona za Linux še zdaleč ni edinstven pripomoček, in se znajde, da se trudi pridobiti pozornost na že tako zasedenem področju. Vendar pa boste med sistemskimi skrbniki našli oboževalce, ki že uporabljajo Sysmon za Windows in nestrpno čakajo, da se vrata Linuxa uporabljajo v drugih sistemih.
Kdor želi začeti uporabljati pripomoček, bo moral vedeti, kako sestaviti binarne datoteke Linuxa, vendar to ne bi smelo biti ovira za ciljno občinstvo orodja. Mark Russinovich, ustvarjalec paketa, je ob praznovanju dejal, da je Sysinternals zdaj mogoče prenesti prek wingeta ali Microsoftove trgovine. Prav tako, kot že veste, je bil Sysmon pravkar izdan za Linux z odprtokodno kodo.
Kako namestiti Sysmon na Linux?
Različica za Linux zahteva namestitev SysinternalsEBPF in nato prevajanje orodja s strani uporabnika. Navodila za to so na strani Sysmon na GitHubu.
Orodje ima na primer v Ubuntu dokaj preprost način namestitve, saj ga želite namestiti, samo odprite terminal in vnesite:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
Medtem ko za Debian 11:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
Ali v primeru Fedore 34:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
Po končani namestitvi začne Sysmon za Linux beležiti sistemske dejavnosti v / var / log / syslog. Nekateri dogodki, ki jih zabeleži orodje, ne veljajo za Linux. Dobra novica je, da je mogoče Sysmon konfigurirati tako, da beleži samo tisto, kar skrbnik meni, da je pomembno.
Program lahko zaženete in dobite sintakso uporabnih ukazov. Če želite to narediti, preprosto vnesete:
sysmon -h
Nato lahko sprejmete pogoje uporabe tako, da vnesete
sysmon -accepteula
Sysmon je zmogljivo orodje, ki se že dolgo uporablja v sistemu Windows za poudarjanje vzrokov nenormalnega vedenja, odkritih na ravni aplikacije ali v lokalnem omrežju.
Končno Če vas zanima več o tem, lahko preverite podrobnosti V naslednji povezavi.