Microsoft parantos ngalihkeun jasa ngawaskeun kagiatan dina sistem Sysmon ka platform Linux. Pikeun ngawas operasi Linux, subsistem eBPF dianggo, anu ngamungkinkeun anjeun ngaluncurkeun pawang anu ngajalankeun dina tingkat kernel sistem operasi. Perpustakaan SysinternalsEBPF dikembangkeun sacara misah, kalebet fungsi anu mangpaat pikeun ngadamel pawang BPF pikeun ngawaskeun acara dina sistem. Kodeu toolkit dibuka dina lisénsi MIT, sareng program BPF aya dina lisénsi GPLv2. Repositori packages.microsoft.com ngandung bungkusan RPM sareng DEB siap-siap anu cocog pikeun distribusi Linux populér.
Sysmon ngidinan Anjeun pikeun nyimpen hiji log kalayan inpo wincik tentang kreasi sarta terminasi prosés, sambungan jaringan sarta manipulasi file. Log nyimpen henteu ngan ukur inpormasi umum, tapi ogé inpormasi anu mangpaat pikeun nganalisa insiden kaamanan, sapertos nami prosés indungna, hashes tina eusi file anu tiasa dieksekusi, inpormasi ngeunaan perpustakaan dinamis, inpormasi ngeunaan waktos nyiptakeun/aksés/robah/ ngahapus file, data ngeunaan aksés langsung prosés pikeun meungpeuk alat. Pikeun ngawatesan jumlah data dirékam, kasebut nyaéta dimungkinkeun pikeun ngonpigurasikeun saringan. Log tiasa disimpen via Syslog standar.
sumber: opennet.ru