Microsoft telah mem-porting layanan pemantauan aktivitas di sistem Sysmon ke platform Linux. Untuk memantau pengoperasian Linux, subsistem eBPF digunakan, yang memungkinkan Anda meluncurkan penangan yang berjalan pada tingkat kernel sistem operasi. Pustaka SysinternalsEBPF sedang dikembangkan secara terpisah, termasuk fungsi yang berguna untuk membuat penangan BPF untuk memantau kejadian dalam sistem. Kode toolkit terbuka di bawah lisensi MIT, dan program BPF berada di bawah lisensi GPLv2. Repositori paket.microsoft.com berisi paket RPM dan DEB siap pakai yang cocok untuk distribusi Linux populer.
Sysmon memungkinkan Anda menyimpan log dengan informasi terperinci tentang pembuatan dan penghentian proses, koneksi jaringan, dan manipulasi file. Log tidak hanya menyimpan informasi umum, tetapi juga informasi yang berguna untuk menganalisis insiden keamanan, seperti nama proses induk, hash dari konten file yang dapat dieksekusi, informasi tentang perpustakaan dinamis, informasi tentang waktu pembuatan/akses/perubahan/ penghapusan file, data tentang akses langsung proses untuk memblokir perangkat. Untuk membatasi jumlah data yang direkam, dimungkinkan untuk mengonfigurasi filter. Log dapat disimpan melalui Syslog standar.
Sumber: opennet.ru