# Sysmon

{% hint style="info" %}
사전에 PLURA 에이전트를 설치해 주세요.

에이전트 설치 시 **root** 권한으로 실행해야 합니다.

PLURA 지원 운영체제

* [https://docs.plura.io/ko/faq/comm/support\_os](https://docs.plura.io/ko/faq/common/support_os)

Sysmon 지원 운영체제

* RHEL 8 이상
* Ubuntu 22.04 이상
  {% endhint %}

## 1. Sysmon 설치 (by root) <a href="#id-1" id="id-1"></a>

{% tabs %}
{% tab title="RHEL 9" %}
**설치 명령어**

```bash
rpm -Uvh https://packages.microsoft.com/config/rhel/9/packages-microsoft-prod.rpm
```

```bash
yum install -y sysmonforlinux
```

{% endtab %}

{% tab title="RHEL 8" %}
**설치 명령어**

```bash
rpm -Uvh https://packages.microsoft.com/config/rhel/8/packages-microsoft-prod.rpm
```

```bash
yum install -y sysmonforlinux
```

{% endtab %}

{% tab title="Ubuntu 22 이상" %}
**설치 명령어**

```bash
wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
```

```bash
dpkg -i packages-microsoft-prod.deb
```

```bash
apt update -y && NEEDRESTART_MODE=a apt install -y sysmonforlinux
```

{% endtab %}
{% endtabs %}

## 2. Sysmon 설정 <a href="#id-2" id="id-2"></a>

설정 파일 생성

```bash
vi /etc/plura/sysmon-plura.xml
```

👉 [Sysmon 설정 파일 바로가기 (GitHub)](https://github.com/QubitSecurity/EDR/blob/main/Linux/sysmon/sysmon-plura.xml)

적용 명령어

```bash
sysmon -accepteula -i /etc/plura/sysmon-plura.xml
```

xml 파일을 수정했을 경우 적용 명령어

```bash
sysmon -c
```

## 3. Sysmon 삭제 <a href="#id-3" id="id-3"></a>

삭제 명령어

```bash
sysmon -u
```


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.plura.io/ko/agents/edr/linux/sysmon.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.