Microsoft は、Sysmon システムのアクティビティ監視サービスを Linux プラットフォームに移植しました。 Linux の動作を監視するには、eBPF サブシステムが使用されます。これにより、オペレーティング システムのカーネル レベルで実行されるハンドラーを起動できます。 SysinternalsEBPF ライブラリは、システム内のイベントを監視するための BPF ハンドラーの作成に役立つ関数を含めて、別途開発されています。 ツールキットのコードは MIT ライセンスに基づいて公開されており、BPF プログラムは GPLv2 ライセンスに基づいて公開されています。 Packages.microsoft.com リポジトリには、一般的な Linux ディストリビューションに適した既製の RPM および DEB パッケージが含まれています。
Sysmon を使用すると、プロセスの作成と終了、ネットワーク接続、ファイル操作に関する詳細情報を含むログを保存できます。 ログには一般的な情報だけでなく、親プロセス名、実行ファイル内容のハッシュ、動的ライブラリに関する情報、作成・アクセス・変更の時刻情報など、セキュリティインシデントの分析に役立つ情報も保存されます。ファイルの削除、ブロックデバイスへのプロセスの直接アクセスに関するデータ。 記録されるデータの量を制限するために、フィルターを構成することができます。 ログは標準の Syslog 経由で保存できます。
出所: オープンネット.ru