Microsoft on siirtänyt Sysmon-järjestelmän aktiivisuudenvalvontapalvelun Linux-alustalle. Linuxin toiminnan valvontaan käytetään eBPF-alijärjestelmää, jonka avulla voit käynnistää käyttöjärjestelmän ydintasolla toimivia käsittelijöitä. SysinternalsEBPF-kirjastoa kehitetään erikseen, ja se sisältää toimintoja, jotka ovat hyödyllisiä BPF-käsittelijöiden luomiseen järjestelmän tapahtumien seurantaa varten. Toolkit-koodi on avoin MIT-lisenssillä, ja BPF-ohjelmat ovat GPLv2-lisenssin alaisia. Packages.microsoft.com-varasto sisältää valmiita RPM- ja DEB-paketteja, jotka sopivat suosittuihin Linux-jakeluihin.
Sysmonin avulla voit pitää lokia, joka sisältää yksityiskohtaisia tietoja prosessien luomisesta ja lopettamisesta, verkkoyhteyksistä ja tiedostojen käsittelystä. Loki tallentaa yleisten tietojen lisäksi myös tietoturvaan liittyvien tapahtumien analysoinnissa hyödyllistä tietoa, kuten pääprosessin nimen, suoritettavien tiedostojen sisällön tiivisteet, tiedot dynaamisista kirjastoista, tiedot luomis-/käyttöajankohdasta. tiedostojen muuttaminen/poisto, tiedot prosessien suorasta pääsystä estää laitteita. Tallennettavien tietojen määrän rajoittamiseksi on mahdollista konfiguroida suodattimia. Loki voidaan tallentaa tavallisen Syslogin kautta.
Lähde: opennet.ru