Mae Microsoft wedi trosglwyddo'r gwasanaeth monitro gweithgaredd yn system Sysmon i'r platfform Linux. I fonitro gweithrediad Linux, defnyddir yr is-system eBPF, sy'n eich galluogi i lansio trinwyr sy'n rhedeg ar lefel cnewyllyn y system weithredu. Mae llyfrgell SysinternalsEBPF yn cael ei datblygu ar wahΓ’n, gan gynnwys swyddogaethau sy'n ddefnyddiol ar gyfer creu trinwyr BPF ar gyfer monitro digwyddiadau yn y system. Mae cod y pecyn cymorth ar agor o dan y drwydded MIT, ac mae'r rhaglenni BPF o dan y drwydded GPLv2. Mae ystorfa packages.microsoft.com yn cynnwys pecynnau RPM a DEB parod sy'n addas ar gyfer dosbarthiadau Linux poblogaidd.
Mae Sysmon yn caniatΓ‘u ichi gadw log gyda gwybodaeth fanwl am greu a therfynu prosesau, cysylltiadau rhwydwaith a thrin ffeiliau. Mae'r log yn storio nid yn unig gwybodaeth gyffredinol, ond hefyd gwybodaeth ddefnyddiol ar gyfer dadansoddi digwyddiadau diogelwch, megis enw'r rhiant-broses, hashes o gynnwys ffeiliau gweithredadwy, gwybodaeth am lyfrgelloedd deinamig, gwybodaeth am amser creu / mynediad / newid / dileu ffeiliau, data am fynediad uniongyrchol i brosesau i rwystro dyfeisiau. Er mwyn cyfyngu ar faint o ddata a gofnodwyd, mae'n bosibl ffurfweddu hidlwyr. Gellir cadw'r log trwy Syslog safonol.
Ffynhonnell: opennet.ru