Tá an tseirbhís monatóireachta gníomhaíochta sa chóras Sysmon aistrithe ag Microsoft chuig an ardán Linux. Chun monatóireacht a dhéanamh ar oibriú Linux, úsáidtear an fochóras eBPF, a ligeann duit láimhseálaithe a sheoladh a ritheann ag leibhéal eithne an chórais oibriúcháin. Tá leabharlann SysinternalsEBPF á forbairt ar leithligh, lena n-áirítear feidhmeanna atá úsáideach chun láimhseálaithe BPF a chruthú chun monatóireacht a dhéanamh ar imeachtaí sa chóras. Tá cód an fhoireann uirlisí oscailte faoin gceadúnas MIT, agus tá na cláir BPF faoin gceadúnas GPLv2. Tá pacáistí RPM agus DEB réamhdhéanta atá oiriúnach do dháiltí Linux coitianta i stór pacáistí.microsoft.com.
Ligeann Sysmon duit logáil a choinneáil le faisnéis mhionsonraithe faoi chruthú agus deireadh próisis, naisc líonra agus ionramhálacha comhad. Ní hamháin go stórálann an loga faisnéis ghinearálta, ach freisin faisnéis úsáideach chun anailís a dhéanamh ar theagmhais a bhaineann le slándáil, amhail ainm an phróisis tuismitheora, hashes ábhar na gcomhad inrite, faisnéis faoi leabharlanna dinimiciúla, faisnéis faoin am cruthaithe / rochtana / athrú/scriosadh comhaid, sonraí faoi rochtain dhíreach ar phróisis chun feistí a bhlocáil. Chun méid na sonraí taifeadta a theorannú, is féidir scagairí a chumrú. Is féidir an logáil a shábháil trí Syslog caighdeánach.
Foinse: oscailtenet.ru