Microsoft on portannut alustalle Linux Sysmon-järjestelmän toiminnan valvontapalvelu. Työn seuraamiseen Linux применяется подсистема eBPF, позволяющая запускать обработчики, работающие на уровне ядра операционной системы. Отдельно развивается библиотека SysinternalsEBPF, включающая функции, полезные для создания BPF-обработчиков для мониторинга событий в системе. Код инструментария открыт под лицензией MIT, а BPF-программы под лицензией GPLv2. В репозитории packages.microsoft.com размещены готовые пакеты RPM и DEB, подходящие для популярных дистрибутивов Linux.
Sysmonin avulla voit pitää lokia, joka sisältää yksityiskohtaisia tietoja prosessien luomisesta ja lopettamisesta, verkkoyhteyksistä ja tiedostojen käsittelystä. Loki tallentaa yleisten tietojen lisäksi myös tietoja, jotka ovat hyödyllisiä tietoturvahäiriöiden tutkimisessa, kuten pääprosessin nimen, suoritettavien tiedostojen sisällön tiivisteet, dynaamisen kirjaston tiedot, tiedostojen luonti-, käyttö-, muokkaus- ja poistoajat sekä tiedot prosessien suorasta käytöstä lohkolaitteille. Suodattimia voidaan määrittää tallennetun tiedon määrän rajoittamiseksi. Loki voidaan tallentaa sisäänrakennetun Syslogin kautta.
Lähde: opennet.ru
