Microsoft je uslugu praćenja aktivnosti u sustavu Sysmon prenio na Linux platformu. Za praćenje rada Linuxa koristi se podsustav eBPF koji vam omogućuje pokretanje rukovatelja koji rade na razini jezgre operacijskog sustava. Biblioteka SysinternalsEBPF razvija se zasebno, uključujući funkcije korisne za kreiranje BPF rukovatelja za praćenje događaja u sustavu. Kod alata otvoren je pod MIT licencom, a BPF programi su pod GPLv2 licencom. Repozitorij packages.microsoft.com sadrži gotove RPM i DEB pakete prikladne za popularne distribucije Linuxa.
Sysmon vam omogućuje vođenje dnevnika s detaljnim informacijama o stvaranju i prekidu procesa, mrežnim vezama i manipulacijama datotekama. Zapisnik ne pohranjuje samo opće informacije, već i informacije korisne za analizu sigurnosnih incidenata, kao što su naziv nadređenog procesa, hashovi sadržaja izvršnih datoteka, informacije o dinamičkim bibliotekama, informacije o vremenu stvaranja/pristupa/promjene/ brisanje datoteka, podaci o izravnom pristupu procesa blok uređajima. Kako biste ograničili količinu snimljenih podataka, moguće je konfigurirati filtre. Dnevnik se može spremiti putem standardnog Syslog-a.
Izvor: opennet.ru