Мајкрософт је портовао на платформу Linux Услуга праћења активности система Sysmon. За праћење рада Linux Користи се eBPF подсистем, који омогућава извршавање обрађивача који се покрећу на нивоу језгра оперативног система. Библиотека SysinternalsEBPF, која укључује функције корисне за креирање BPF обрађивача за праћење системских догађаја, развија се одвојено. Код алата је отвореног кода под MIT лиценцом, а BPF програми су лиценцирани под GPLv2. Репозиторијум packages.microsoft.com садржи готове RPM и DEB пакете погодне за популарне дистрибуције. Linux.
Сисмон вам омогућава да водите евиденцију са детаљним информацијама о креирању и прекиду процеса, мрежним везама и манипулацијама датотекама. Дневник чува не само опште информације, већ и информације корисне за анализу безбедносних инцидената, као што су име надређеног процеса, хешови садржаја извршних датотека, информације о динамичким библиотекама, информације о времену креирања/приступа/промене/ брисање датотека, подаци о директном приступу процеса блокираним уређајима. Да бисте ограничили количину снимљених података, могуће је конфигурисати филтере. Дневник се може сачувати путем стандардног Сислог-а.
Извор: опеннет.ру
