Microsoft hà purtatu u serviziu di monitoraghju di l'attività in u sistema Sysmon à a piattaforma Linux. Per monitorà u funziunamentu di Linux, hè utilizatu u subsistema eBPF, chì vi permette di lanciari handlers in esecuzione à u livellu di u kernel di u sistema operatore. A libreria SysinternalsEBPF hè sviluppata separatamente, cumprese funzioni utili per creà gestori BPF per monitorà l'avvenimenti in u sistema. U codice toolkit hè apertu sottu a licenza MIT, è i prugrammi BPF sò sottu a licenza GPLv2. U repository packages.microsoft.com cuntene pacchetti RPM è DEB pronti adattati per distribuzioni Linux populari.
Sysmon permette di mantene un logu cù infurmazioni detallati nantu à a creazione è a terminazione di prucessi, cunnessione di rete è manipulazioni di schedari. U logu guarda micca solu l'infurmazioni generale, ma ancu l'infurmazioni utili per l'analisi di incidenti di sicurezza, cum'è u nome di u prucessu parent, hashes di u cuntenutu di i fugliali eseguibili, infurmazione nantu à e biblioteche dinamiche, infurmazione nantu à u tempu di creazione / accessu / cambiamentu / sguassà i schedari, dati circa accessu direttu di prucessi à bluccà i dispusitivi. Per limità a quantità di dati registrati, hè pussibule cunfigurà filtri. U logu pò esse salvatu via Syslog standard.
Source: opennet.ru