Microsoft ka transferuar shërbimin e monitorimit të aktivitetit në sistemin Sysmon në platformën Linux. Për të monitoruar funksionimin e Linux-it, përdoret nënsistemi eBPF, i cili ju lejon të nisni mbajtësit që funksionojnë në nivelin e kernelit të sistemit operativ. Biblioteka SysinternalsEBPF po zhvillohet veçmas, duke përfshirë funksione të dobishme për krijimin e mbajtësve BPF për monitorimin e ngjarjeve në sistem. Kodi i paketës së veglave është i hapur nën licencën MIT dhe programet BPF janë nën licencën GPLv2. Depoja e packages.microsoft.com përmban paketa të gatshme RPM dhe DEB të përshtatshme për shpërndarjet e njohura Linux.
Sysmon ju lejon të mbani një regjistër me informacion të detajuar në lidhje me krijimin dhe përfundimin e proceseve, lidhjet e rrjetit dhe manipulimet e skedarëve. Regjistri ruan jo vetëm informacione të përgjithshme, por edhe informacione të dobishme për analizimin e incidenteve të sigurisë, të tilla si emri i procesit prind, hash-et e përmbajtjes së skedarëve të ekzekutueshëm, informacione rreth bibliotekave dinamike, informacione për kohën e krijimit/qasjes/ndryshimit/ fshirja e skedarëve, të dhënat për aksesin e drejtpërdrejtë të proceseve në bllokimin e pajisjeve. Për të kufizuar sasinë e të dhënave të regjistruara, është e mundur të konfiguroni filtrat. Regjistri mund të ruhet përmes Syslog standard.
Burimi: opennet.ru