Microsoft je storitev spremljanja aktivnosti v sistemu Sysmon prenesel na platformo Linux. Za spremljanje delovanja Linuxa se uporablja podsistem eBPF, ki omogoča zagon obdelovalcev, ki se izvajajo na ravni jedra operacijskega sistema. Knjižnica SysinternalsEBPF se razvija ločeno, vključno s funkcijami, uporabnimi za ustvarjanje upravljavcev BPF za spremljanje dogodkov v sistemu. Koda kompleta orodij je odprta pod licenco MIT, programi BPF pa pod licenco GPLv2. Repozitorij packages.microsoft.com vsebuje že pripravljene pakete RPM in DEB, primerne za priljubljene distribucije Linuxa.
Sysmon vam omogoča vodenje dnevnika s podrobnimi informacijami o ustvarjanju in prekinitvi procesov, omrežnih povezavah in manipulacijah z datotekami. Dnevnik ne shranjuje le splošnih informacij, ampak tudi informacije, uporabne za analizo varnostnih incidentov, kot so ime nadrejenega procesa, zgoščene vsebine izvedljivih datotek, informacije o dinamičnih knjižnicah, informacije o času ustvarjanja/dostopa/spremembe/ brisanje datotek, podatki o neposrednem dostopu procesov do blokovnih naprav. Za omejitev količine zabeleženih podatkov je možno konfigurirati filtre. Dnevnik je mogoče shraniti prek standardnega Syslog-a.
Vir: opennet.ru