Microsoft telah mengalihkan perkhidmatan pemantauan aktiviti dalam sistem Sysmon ke platform Linux. Untuk memantau operasi Linux, subsistem eBPF digunakan, yang membolehkan anda melancarkan pengendali yang berjalan pada tahap kernel sistem pengendalian. Pustaka SysinternalsEBPF sedang dibangunkan secara berasingan, termasuk fungsi yang berguna untuk mencipta pengendali BPF untuk memantau acara dalam sistem. Kod toolkit dibuka di bawah lesen MIT, dan program BPF berada di bawah lesen GPLv2. Repositori packages.microsoft.com mengandungi pakej RPM dan DEB siap pakai yang sesuai untuk pengedaran Linux yang popular.
Sysmon membolehkan anda menyimpan log dengan maklumat terperinci tentang penciptaan dan penamatan proses, sambungan rangkaian dan manipulasi fail. Log menyimpan bukan sahaja maklumat am, tetapi juga maklumat yang berguna untuk menganalisis insiden keselamatan, seperti nama proses induk, cincang kandungan fail boleh laku, maklumat tentang perpustakaan dinamik, maklumat tentang masa penciptaan/akses/perubahan/ pemadaman fail, data tentang akses terus proses untuk menyekat peranti. Untuk mengehadkan jumlah data yang direkodkan, adalah mungkin untuk mengkonfigurasi penapis. Log boleh disimpan melalui Syslog standard.
Sumber: opennet.ru