Microsoft hefur flutt virknivöktunarþjónustuna í Sysmon kerfinu yfir á Linux pallinn. Til að fylgjast með rekstri Linux er eBPF undirkerfið notað, sem gerir þér kleift að ræsa meðhöndlara sem keyra á stýrikerfiskjarnastigi. SysinternalsEBPF bókasafnið er þróað sérstaklega, þar á meðal aðgerðir sem eru gagnlegar til að búa til BPF meðhöndlara til að fylgjast með atburðum í kerfinu. Kóðinn fyrir verkfærakistuna er opinn undir MIT leyfinu og BPF forritin eru undir GPLv2 leyfinu. Packages.microsoft.com geymslan inniheldur tilbúna RPM og DEB pakka sem henta fyrir vinsælar Linux dreifingar.
Sysmon gerir þér kleift að halda skrá með nákvæmum upplýsingum um stofnun og lok ferla, nettengingar og skráameðferð. Skráin geymir ekki aðeins almennar upplýsingar, heldur einnig upplýsingar sem eru gagnlegar til að greina öryggisatvik, svo sem heiti yfirferlis, kjötkássa á innihaldi keyranlegra skráa, upplýsingar um kvik bókasöfn, upplýsingar um stofnun/aðgang/breytingu/ eyðingu skráa, gögn um beinan aðgang að ferlum til að loka tækjum. Til að takmarka magn skráðra gagna er hægt að stilla síur. Hægt er að vista annálinn með venjulegu Syslog.
Heimild: opennet.ru