Microsoft öncelikle uygulamalar ve hizmetler üretirken tasarlanmış kendi sisteminizle kullanmak için Windows işletim, yıllar boyunca şirket sadece macOS'u değil, Linux'u da benimsedi. Yakın zamanda Windows 11 mağazasında Linux için Windows Alt Sistemini başlattıktan sonra Microsoft, Linux kullanıcıları için araçlarından bir tanesini daha piyasaya sürdü.
Ve Microsoft, Sysmon'un Linux için bir sürümünü yayınladı mı? Windows sistem izleme aracı. Sysmon, Microsoft tarafından sağlanan Sysinternals koleksiyonundaki araçlardan yalnızca biridir ve kullanıcılara, daha sonra günlüğe kaydedilebilecek şüpheli etkinlik belirtileri için sistemleri izleme olanağı verir.
Bu, sistem yöneticilerinin endişe yaratabilecek çok özel aktivite türlerini bulmak için özelleştirebilecekleri, yüksek düzeyde yapılandırılabilir bir araçtır.
Sysmon Sistem Monitörü Hakkında
Sysmon'a aşina olmayanlar için şunu bilmelisiniz ki sistem hizmeti olarak yüklenen bir programdır ve sonraki yeniden başlatmalardan sonra bile çalışmaya devam eder.
Olay günlüğünde sistem etkinliğinin izlenmesine ve kaydedilmesine izin verir Windows ve süreçler oluşturma, ağ bağlantıları, dosya oluşturma ve değiştirme hakkında ayrıntılı bilgi sağlar. Bir yönetici, kullanımda olan makinede Sysmon tarafından oluşturulan olayları inceleyerek, anormal veya kötü niyetli etkinliği belirleyebilir, sistemin nasıl kullanıldığını anlayabilir, davetsiz misafirlerin sistemde nasıl hareket ettiğini anlayabilir.
Sysmon'un Linux sürümü benzersiz bir yardımcı program olmaktan uzaktır.ve kendisini zaten yoğun bir alanda dikkat çekmek için mücadele ederken bulur. Ancak, Windows için Sysmon'u zaten kullanan ve diğer sistemlerde kullanmak için bir Linux bağlantı noktasını sabırsızlıkla bekleyen sistem yöneticileri arasında fanatikler bulacaksınız.
Yardımcı programa başlamak isteyen herkesin Linux ikili dosyalarının nasıl derleneceğini bilmesi gerekir, ancak bu, aracın hedef kitlesi için bir engel olmamalıdır. Kutlamada, paketin yaratıcısı Mark Russinovich, Sysinternals'ın artık winget veya Microsoft Store aracılığıyla indirilebileceğini söyledi. Ayrıca, zaten bildiğiniz gibi, Sysmon, Linux için açık kaynak kodlu olarak piyasaya sürüldü.
Linux'ta Sysmon nasıl kurulur?
Linux sürümü, SysinternalsEBPF'nin yüklenmesini ve ardından aracın kullanıcı tarafından derlenmesini gerektirir. Bunun için talimatlar GitHub'daki Sysmon sayfasındadır.
Örneğin, aracın Ubuntu'da oldukça basit bir kurulum yöntemi vardır, çünkü onu kurmak için bir terminal açın ve şunu yazın:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
Debian 11 için ise:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
Veya Fedora 34 durumunda:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
Yükleme tamamlandıktan sonra, Sysmon for Linux, sistem etkinliklerini / var / log / syslog'da günlüğe kaydetmeye başlar. Araç tarafından günlüğe kaydedilen bazı olaylar Linux için geçerli değildir. İyi haber şu ki, Sysmon yalnızca yöneticinin uygun gördüğü şeyleri kaydedecek şekilde yapılandırılabilir.
Programı başlatabilir ve kullanılabilir komutlar için sözdizimini alabilirsiniz. Bunu yapmak için, basitçe şunu yazarlar:
sysmon -h
Daha sonra yazarak kullanım şartlarını kabul edebilirsiniz.
sysmon -accepteula
Sysmon, uygulama düzeyinde veya yerel ağ içinde algılanan anormal davranışların nedenlerini vurgulamak için Windows'ta uzun süredir kullanılan güçlü bir araçtır.
Nihayet Bununla ilgili daha fazla bilgi edinmek istiyorsanız, detayları kontrol edebilirsin Aşağıdaki bağlantıda.