Microsoft ha portat el servei de supervisió d'activitat del sistema Sysmon a la plataforma Linux. Per supervisar el funcionament de Linux, s'utilitza el subsistema eBPF, que permet llançar controladors que s'executen al nivell del nucli del sistema operatiu. La biblioteca SysinternalsEBPF s'està desenvolupant per separat, incloent funcions útils per crear controladors BPF per supervisar esdeveniments al sistema. El codi del conjunt d'eines està obert sota la llicència MIT i els programes BPF estan sota la llicència GPLv2. El repositori packages.microsoft.com conté paquets RPM i DEB ja preparats adequats per a distribucions populars de Linux.
Sysmon us permet mantenir un registre amb informació detallada sobre la creació i finalització de processos, connexions de xarxa i manipulacions de fitxers. El registre emmagatzema no només informació general, sinó també informació útil per analitzar incidents de seguretat, com ara el nom del procés principal, hash del contingut dels fitxers executables, informació sobre biblioteques dinàmiques, informació sobre el moment de creació/accés/canvi/ supressió de fitxers, dades sobre l'accés directe de processos per bloquejar dispositius. Per limitar la quantitat de dades enregistrades, és possible configurar filtres. El registre es pot desar mitjançant Syslog estàndard.
Font: opennet.ru