Microsoft vừa tung ra phiên bản Linux của công cụ giám sát hệ thống Sysmon vốn rất nổi tiếng trên Windows. Sysmon sẽ cho phép Admin Linux giám sát các thiết bị để phát hiện những hoạt động nguy hiểm, bất thường.

Sysmon (hay còn gọi là System Monitor) là một công cụ trong bộ công cụ SysInternals của Microsoft. Chức năng của nó là giám sát hệ thống để tìm các hoạt động nguy hiểm và sau đó ghi lại tất cả hành vi đã được phát hiện vào các tệp nhật ký hệ thống.

Sysmon cực kỳ linh hoạt khi cho phép Admin tạo các tệp cấu hình tùy chỉnh để giám sát các sự kiện hệ thống cụ thể. Từ đó, Admin sẽ dễ dàng phát hiện ra các hoạt động nguy hiểm trên hệ thống.

Sysmon cho Linux sẽ được phát hành dưới dạng dự án mã nguồn mở trên GitHub. Người dùng Linux sẽ phải tự biên dịch chương trình và đảm bạo rằng họ có tất cả các phụ thuộc bắt buộc. Hướng dẫn biên dịch chương trình được cung cấp trên trang GitHub của dự án.

Bạn cần lưu ý rằng để biên dịch Sysmon thì trước tiên bạn phải cài dự án SysinternalsEBP.

Sau khi Sysmon được biên dịch, bạn có thể xem file trợ giúp bằng cách nhập lệnh: sudo ./sysmon -h. Để sử dụng chương trình thì trước tiên bạn phải chấp nhận thỏa thuận cấp phép cho người dùng bằng cách nhập lệnh: sudo ./sysmon -accepteula.

Sau đó, bạn có thể chạy Sysmon có hoặc không có tệp cấu hình bằng một trong các lệnh sau:

Không có tệp cấu hình:

  • sudo ./sysmon -i

Có tệp cấp hình:

  • sudo ./sysmon -i CONFIG_FILE

Để tạo tệp cấu hình Sysmon của riêng mình, bạn cần dùng câu lệnh ./sysmon -s để xem lực đồ cấu hình của phiên bản hiện tại và xem các lệnh nào có sẵn. Để hiểu thêm về các tạo một file cấu hình Sysmon, mời các bạn tham khảo tài liệu chính thức của Microsoft

Sau khi khởi động Sysmon sẽ bắt đầu ghi các sự kiện vào tệp /var/log/syslog. Vì thế, nếu không cấu hình để hạn chế những gì được ghi, bạn sẽ thấy dung lượng tệp nhật ký của mình ngày càng phình to.

Chúc các anh em vọc sỹ có khoảng thời gian “vui vẻ” với công cụ mới mà Microsoft dành cho Linux.

    Hỗ trợ giải đáp




    Trả lời

    Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *