Mikrosofto portis la agadmonitoradservon en la Sysmon-sistemo al la Linukso-platformo. Por monitori la funkciadon de Linukso, la subsistemo eBPF estas uzata, kiu ebligas al vi lanĉi prizorgilojn kurantajn ĉe la mastruma kerno-nivelo. La SysinternalsEBPF-biblioteko estas evoluigita aparte, inkluzive de funkcioj utilaj por kreado de BPF-traktiloj por monitorado de okazaĵoj en la sistemo. La ilarkodo estas malfermita sub la MIT-licenco, kaj la BPF-programoj estas sub la GPLv2-licenco. La deponejo packages.microsoft.com enhavas pretajn RPM kaj DEB-pakaĵojn taŭgajn por popularaj Linukso-distribuoj.
Sysmon permesas vin konservi protokolon kun detalaj informoj pri la kreado kaj fino de procezoj, retaj konektoj kaj dosiermanipulado. La protokolo stokas ne nur ĝeneralajn informojn, sed ankaŭ informojn utilajn por analizi sekurecajn okazaĵojn, kiel la nomo de la gepatra procezo, hashoj de la enhavo de ruleblaj dosieroj, informoj pri dinamikaj bibliotekoj, informoj pri la tempo de kreado/aliro/ŝanĝo/ forigo de dosieroj, datumoj pri rekta aliro de procezoj por bloki aparatojn. Por limigi la kvanton de registritaj datumoj, eblas agordi filtrilojn. La protokolo povas esti konservita per norma Syslog.
fonto: opennet.ru