قامت Microsoft بنقل خدمة مراقبة النشاط في نظام Sysmon إلى نظام التشغيل Linux. لمراقبة تشغيل Linux، يتم استخدام النظام الفرعي eBPF، والذي يسمح لك بتشغيل المعالجات التي تعمل على مستوى kernel لنظام التشغيل. يتم تطوير مكتبة SysinternalsEBPF بشكل منفصل، بما في ذلك الوظائف المفيدة لإنشاء معالجات BPF لمراقبة الأحداث في النظام. رمز مجموعة الأدوات مفتوح بموجب ترخيص MIT، وبرامج BPF خاضعة لترخيص GPLv2. يحتوي مستودع packages.microsoft.com على حزم RPM وDEB جاهزة لتوزيعات Linux الشهيرة.
يسمح لك Sysmon بالاحتفاظ بسجل يحتوي على معلومات مفصلة حول إنشاء وإنهاء العمليات واتصالات الشبكة ومعالجة الملفات. لا يخزن السجل معلومات عامة فحسب، بل يخزن أيضًا معلومات مفيدة لتحليل الحوادث الأمنية، مثل اسم العملية الأصلية، وتجزئة محتويات الملفات القابلة للتنفيذ، ومعلومات حول المكتبات الديناميكية، ومعلومات حول وقت الإنشاء/الوصول/التغيير/ حذف الملفات والبيانات المتعلقة بالوصول المباشر إلى عمليات حظر الأجهزة. للحد من كمية البيانات المسجلة، من الممكن تكوين المرشحات. يمكن حفظ السجل عبر Syslog القياسي.
المصدر: opennet.ru