雖然 Microsoft 主要生產應用程序和服務 設計的 與您自己的系統一起使用 Windows 操作, 多年來 公司 不僅採用了 macOS,還採用了 Linux. 在最近在 Windows 11 商店中推出適用於 Linux 的 Windows 子系統之後,微軟剛剛為 Linux 用戶發布了另一個工具。
並且微軟剛剛發布了一個適用於 Linux 的 Sysmon 版本, Windows系統監控工具。 Sysmon 只是 Microsoft 維護的 Sysinternals 集合中的工具之一,使用戶能夠監視系統是否有可疑活動的跡象,然後可以將其記錄下來。
這是一個高度可配置的工具,系統管理員可以對其進行自定義,以查找可能引起關注的特定類型的活動。
關於 Sysmon 系統監視器
對於那些不熟悉 Sysmon 的人,你應該知道這個 它是作為系統服務安裝的程序 並且即使在隨後重新啟動後它也會繼續運行。
允許在事件日誌中監視和記錄系統活動 Windows 並提供有關創建進程、網絡連接、創建和修改文件的詳細信息。 通過檢查 Sysmon 在使用中的機器上生成的事件,管理員可以識別異常或惡意活動,了解系統的使用方式,了解入侵者如何對系統採取行動。
Sysmon 的 Linux 版本遠非一個獨特的實用程序,並發現自己在一個已經很繁忙的領域很難獲得關注。 但是,您會在已經使用 Sysmon for Windows 並且一直熱切等待 Linux 端口在其他系統上使用的系統管理員中找到粉絲。
任何想要開始使用該實用程序的人都需要知道如何編譯 Linux 二進製文件,但這不應成為該工具目標受眾的障礙。 為了慶祝,該軟件包的創建者 Mark Russinovich 表示現在可以通過 winget 或 Microsoft Store 下載 Sysinternals。 此外,正如您已經知道的,Sysmon 剛剛針對 Linux 發布,具有開源代碼。
如何在 Linux 上安裝 Sysmon?
Linux 版本需要安裝 SysinternalsEBPF,然後由用戶編譯該工具。 相關說明位於 GitHub 上的 Sysmon 頁面上。
例如,該工具在 Ubuntu 中有一個相當簡單的安裝方法,既然要安裝它,只需打開一個終端並輸入:
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt install build-essential gcc g++ make cmake libelf-dev llvm clang libxml2 libxml2-dev libzstd1 git libgtest-dev apt-transport-https dirmngr monodevelop googletest google-mock libjson-glib-dev
sudo apt-get update
sudo apt-get install sysmonforlinux
對於 Debian 11:
wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.asc.gpg
sudo mv microsoft.asc.gpg /etc/apt/trusted.gpg.d/
wget -q https://packages.microsoft.com/config/debian/11/prod.list
sudo mv prod.list /etc/apt/sources.list.d/microsoft-prod.list
sudo chown root:root /etc/apt/trusted.gpg.d/microsoft.asc.gpg
sudo chown root:root /etc/apt/sources.list.d/microsoft-prod.list
sudo apt-get update
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt-get install sysmonforlinux
或者在 Fedora 34 的情況下:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo wget -q -O /etc/yum.repos.d/microsoft-prod.repo https://packages.microsoft.com/config/fedora/34/prod.repo
sudo dnf install sysmonforlinux
安裝完成後,Sysmon for Linux 開始在 /var/log/syslog 中記錄系統活動。 該工具記錄的某些事件不適用於 Linux。 好消息是 Sysmon 可以配置為僅記錄管理員認為相關的內容。
您可以啟動程序並獲取可用命令的語法。 為此,他們只需鍵入:
sysmon -h
然後,您可以通過鍵入接受使用條款
sysmon -accepteula
Sysmon 是一個強大的工具,長期以來一直在 Windows 中使用,以突出在應用程序級別或本地網絡內檢測到的異常行為的原因。
終於 如果您有興趣了解更多信息, 您可以查看詳細信息 在下面的鏈接中。