Microsoft hat de tsjinst foar aktiviteitsmonitoring yn it Sysmon-systeem oerdroegen oan it Linux-platfoarm. Om de wurking fan Linux te kontrolearjen, wurdt it eBPF-subsysteem brûkt, wêrtroch jo handlers kinne starte dy't rinne op it kernelnivo fan it bestjoeringssysteem. De SysinternalsEBPF-bibleteek wurdt apart ûntwikkele, ynklusyf funksjes dy't nuttich binne foar it meitsjen fan BPF-hannelers foar it kontrolearjen fan eveneminten yn it systeem. De toolkit-koade is iepen ûnder de MIT-lisinsje, en de BPF-programma's binne ûnder de GPLv2-lisinsje. It packages.microsoft.com-repository befettet klearmakke RPM- en DEB-pakketten geskikt foar populêre Linux-distribúsjes.
Sysmon lit jo in log hâlde mei detaillearre ynformaasje oer it oanmeitsjen en beëinigjen fan prosessen, netwurkferbiningen en triemmanipulaasjes. It log bewarret net allinich algemiene ynformaasje, mar ek ynformaasje dy't nuttich is foar it analysearjen fan feiligensynsidinten, lykas de namme fan it âlderproses, hashes fan 'e ynhâld fan útfierbere bestannen, ynformaasje oer dynamyske bibleteken, ynformaasje oer de tiid fan skepping / tagong / feroaring / wiskjen fan bestannen, gegevens oer direkte tagong fan prosessen om apparaten te blokkearjen. Om it bedrach fan opnommen gegevens te beheinen, is it mooglik om filters te konfigurearjen. It log kin wurde bewarre fia standert Syslog.
Boarne: opennet.ru