Spoločnosť Microsoft portovala na túto platformu Linux Služba monitorovania aktivity systému Sysmon. Sledovanie práce Linux Používa sa subsystém eBPF, ktorý umožňuje spúšťanie obslužných programov bežiacich na úrovni jadra operačného systému. Knižnica SysinternalsEBPF, ktorá obsahuje funkcie užitočné na vytváranie obslužných programov BPF na monitorovanie systémových udalostí, sa vyvíja samostatne. Kód sady nástrojov je open source pod licenciou MIT a programy BPF sú licencované pod licenciou GPLv2. Repozitár packages.microsoft.com obsahuje hotové balíky RPM a DEB vhodné pre populárne distribúcie. Linux.
Sysmon vám umožňuje viesť denník s podrobnými informáciami o vytváraní a ukončovaní procesov, sieťových pripojeniach a manipuláciách so súbormi. V protokole sú uložené nielen všeobecné informácie, ale aj informácie užitočné pri analýze bezpečnostných incidentov, ako je názov nadradeného procesu, hash obsahu spustiteľných súborov, informácie o dynamických knižniciach, informácie o čase vytvorenia/prístupu/zmeny/ mazanie súborov, údaje o priamom prístupe procesov k blokovacím zariadeniam. Na obmedzenie množstva zaznamenaných údajov je možné nakonfigurovať filtre. Protokol je možné uložiť cez štandardný Syslog.
Zdroj: opennet.ru
