Microsoft imehamisha huduma ya ufuatiliaji wa shughuli katika mfumo wa Sysmon kwenye jukwaa la Linux. Ili kufuatilia uendeshaji wa Linux, mfumo mdogo wa eBPF hutumiwa, ambayo inakuwezesha kuzindua washughulikiaji wanaoendesha kwenye ngazi ya kernel ya mfumo wa uendeshaji. Maktaba ya SysinternalsEBPF inatengenezwa tofauti, ikijumuisha vipengele muhimu vya kuunda vidhibiti vya BPF kwa ufuatiliaji wa matukio katika mfumo. Msimbo wa kisanduku cha zana umefunguliwa chini ya leseni ya MIT, na programu za BPF ziko chini ya leseni ya GPLv2. Hazina ya packages.microsoft.com ina vifurushi vya RPM na DEB vilivyotengenezwa tayari vinavyofaa kwa usambazaji maarufu wa Linux.
Sysmon hukuruhusu kuweka kumbukumbu iliyo na maelezo ya kina kuhusu uundaji na usitishaji wa michakato, miunganisho ya mtandao na upotoshaji wa faili. Logi huhifadhi sio habari ya jumla tu, lakini pia habari muhimu kwa kuchambua matukio ya usalama, kama vile jina la mchakato wa mzazi, heshi ya yaliyomo kwenye faili zinazoweza kutekelezwa, habari kuhusu maktaba zinazobadilika, habari kuhusu wakati wa kuunda/kufikia/kubadilisha/ kufutwa kwa faili, data kuhusu upatikanaji wa moja kwa moja wa taratibu za kuzuia vifaa. Ili kupunguza kiasi cha data iliyorekodi, inawezekana kusanidi vichungi. Logi inaweza kuhifadhiwa kupitia Syslog ya kawaida.
Chanzo: opennet.ru