„Microsoft“ perkėlė veiklos stebėjimo paslaugą „Sysmon“ sistemoje į „Linux“ platformą. Norint stebėti „Linux“ veikimą, naudojamas eBPF posistemis, leidžiantis paleisti tvarkykles, veikiančias operacinės sistemos branduolio lygiu. SysinternalsEBPF biblioteka kuriama atskirai, įskaitant funkcijas, naudingas kuriant BPF tvarkykles, skirtas stebėti įvykius sistemoje. Įrankių rinkinio kodas yra atidarytas pagal MIT licenciją, o BPF programos yra pagal GPLv2 licenciją. Packages.microsoft.com saugykloje yra paruoštų RPM ir DEB paketų, tinkamų populiariems Linux platinimams.
Sysmon leidžia vesti žurnalą su išsamia informacija apie procesų kūrimą ir nutraukimą, tinklo ryšius ir failų manipuliavimą. Žurnale saugoma ne tik bendra informacija, bet ir informacija, naudinga analizuojant saugumo incidentus, pavyzdžiui, pirminio proceso pavadinimas, vykdomųjų failų turinio maišos, informacija apie dinamines bibliotekas, informacija apie sukūrimo/prieigos/keitimo laiką. failų, duomenų apie tiesioginę prieigą prie procesų blokuoti įrenginius ištrynimas. Norint apriboti įrašomų duomenų kiekį, galima sukonfigūruoti filtrus. Žurnalą galima išsaugoti naudojant standartinį „Syslog“.
Šaltinis: opennet.ru