虽然 Microsoft 主要生产应用程序和服务 设计的 与您自己的系统一起使用 Windows 操作, 多年来 公司 不仅采用了 macOS,还采用了 Linux. 在最近在 Windows 11 商店中推出适用于 Linux 的 Windows 子系统之后,微软刚刚为 Linux 用户发布了另一个工具。
并且微软刚刚发布了一个适用于 Linux 的 Sysmon 版本, Windows 系统监控工具。 Sysmon 只是 Microsoft 维护的 Sysinternals 集合中的工具之一,使用户能够监视系统是否有可疑活动的迹象,然后可以将其记录下来。
这是一个高度可配置的工具,系统管理员可以对其进行自定义,以查找可能引起关注的特定类型的活动。
关于 Sysmon 系统监视器
对于那些不熟悉 Sysmon 的人,你应该知道这个 它是作为系统服务安装的程序 并且即使在随后的重新启动后它也会继续运行。
允许在事件日志中监视和记录系统活动 Windows 并提供有关创建进程、网络连接、创建和修改文件的详细信息。 通过检查 Sysmon 在使用中的机器上生成的事件,管理员可以识别异常或恶意活动,了解系统的使用方式,了解入侵者如何对系统采取行动。
Sysmon 的 Linux 版本远非一个独特的实用程序,他发现自己在一个已经很繁忙的领域很难获得关注。 但是,您会在已经使用 Sysmon for Windows 并且一直热切等待 Linux 端口在其他系统上使用的系统管理员中找到粉丝。
任何想要开始使用该实用程序的人都需要知道如何编译 Linux 二进制文件,但这不应成为该工具的目标受众的障碍。 为了庆祝,该软件包的创建者 Mark Russinovich 表示现在可以通过 winget 或 Microsoft Store 下载 Sysinternals。 此外,正如您已经知道的,Sysmon 刚刚针对 Linux 发布,具有开源代码。
如何在 Linux 上安装 Sysmon?
Linux 版本需要安装 SysinternalsEBPF,然后由用户编译该工具。 相关说明位于 GitHub 上的 Sysmon 页面上。
例如,该工具在 Ubuntu 中有一个相当简单的安装方法,既然要安装它,只需打开一个终端并输入:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
对于 Debian 11:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
或者在 Fedora 34 的情况下:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
安装完成后,Sysmon for Linux 开始在 /var/log/syslog 中记录系统活动。 该工具记录的某些事件不适用于 Linux。 好消息是 Sysmon 可以配置为仅记录管理员认为相关的内容。
您可以启动程序并获取可用命令的语法。 为此,他们只需键入:
sysmon -h
然后,您可以通过键入来接受使用条款
sysmon -accepteula
Sysmon 是一个强大的工具,长期以来一直在 Windows 中使用,以突出显示在应用程序级别或本地网络内检测到的异常行为的原因。
最后 如果您有兴趣了解更多信息, 您可以查看详细信息 在下面的链接中。