微软发布开源版 Sysmon System Monitor for Linux

虽然 Microsoft 主要生产应用程序和服务 设计的 与您自己的系统一起使用 Windows 操作, 多年来 公司 不仅采用了 macOS,还采用了 Linux. 在最近在 Windows 11 商店中推出适用于 Linux 的 Windows 子系统之后,微软刚刚为 Linux 用户发布了另一个工具。

并且微软刚刚发布了一个适用于 Linux 的 Sysmon 版本, Windows 系统监控工具。 Sysmon 只是 Microsoft 维护的 Sysinternals 集合中的工具之一,使用户能够监视系统是否有可疑活动的迹象,然后可以将其记录下来。

这是一个高度可配置的工具,系统管理员可以对其进行自定义,以查找可能引起关注的特定类型的活动。

关于 Sysmon 系统监视器

对于那些不熟悉 Sysmon 的人,你应该知道这个 它是作为系统服务安装的程序 并且即使在随后的重新启动后它也会继续运行。

允许在事件日志中监视和记录系统活动 Windows 并提供有关创建进程、网络连接、创建和修改文件的详细信息。 通过检查 Sysmon 在使用中的机器上生成的事件,管理员可以识别异常或恶意活动,了解系统的使用方式,了解入侵者如何对系统采取行动。

Sysmon 的 Linux 版本远非一个独特的实用程序,他发现自己在一个已经很繁忙的领域很难获得关注。 但是,您会在已经使用 Sysmon for Windows 并且一直热切等待 Linux 端口在其他系统上使用的系统管理员中找到粉丝。

任何想要开始使用该实用程序的人都需要知道如何编译 Linux 二进制文件,但这不应成为该工具的目标受众的障碍。 为了庆祝,该软件包的创建者 Mark Russinovich 表示现在可以通过 winget 或 Microsoft Store 下载 Sysinternals。 此外,正如您已经知道的,Sysmon 刚刚针对 Linux 发布,具有开源代码。

如何在 Linux 上安装 Sysmon?

Linux 版本需要安装 SysinternalsEBPF,然后由用户编译该工具。 相关说明位于 GitHub 上的 Sysmon 页面上。

例如,该工具在 Ubuntu 中有一个相当简单的安装方法,既然要安装它,只需打开一个终端并输入:

wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev

sudo apt-get update
sudo apt-get install sysmonforlinux

对于 Debian 11:

wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list

sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux

或者在 Fedora 34 的情况下:

sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux

安装完成后,Sysmon for Linux 开始在 /var/log/syslog 中记录系统活动。 该工具记录的某些事件不适用于 Linux。 好消息是 Sysmon 可以配置为仅记录管理员认为相关的内容。

您可以启动程序并获取可用命令的语法。 为此,他们只需键入:

sysmon -h

然后,您可以通过键入来接受使用条款

sysmon -accepteula

Sysmon 是一个强大的工具,长期以来一直在 Windows 中使用,以突出显示在应用程序级别或本地网络内检测到的异常行为的原因。

最后 如果您有兴趣了解更多信息, 您可以查看详细信息 在下面的链接中。


本文内容遵循我们的原则 编辑伦理。 要报告错误,请单击 信息.

成为第一个发表评论

发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责数据:MiguelÁngelGatón
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。