Microsoft Sysmon సిస్టమ్లోని కార్యాచరణ పర్యవేక్షణ సేవను Linux ప్లాట్ఫారమ్కు పోర్ట్ చేసింది. Linux యొక్క ఆపరేషన్ను పర్యవేక్షించడానికి, eBPF సబ్సిస్టమ్ ఉపయోగించబడుతుంది, ఇది ఆపరేటింగ్ సిస్టమ్ కెర్నల్ స్థాయిలో నడుస్తున్న హ్యాండ్లర్లను లాంచ్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. సిస్టమ్లోని ఈవెంట్లను పర్యవేక్షించడానికి BPF హ్యాండ్లర్లను రూపొందించడానికి ఉపయోగపడే ఫంక్షన్లతో సహా SysinternalsEBPF లైబ్రరీ విడిగా అభివృద్ధి చేయబడుతోంది. టూల్కిట్ కోడ్ MIT లైసెన్స్ క్రింద తెరవబడింది మరియు BPF ప్రోగ్రామ్లు GPLv2 లైసెన్స్ క్రింద ఉన్నాయి. Packages.microsoft.com రిపోజిటరీ జనాదరణ పొందిన Linux పంపిణీలకు అనువైన రెడీమేడ్ RPM మరియు DEB ప్యాకేజీలను కలిగి ఉంది.
ప్రక్రియలు, నెట్వర్క్ కనెక్షన్లు మరియు ఫైల్ మానిప్యులేషన్ల సృష్టి మరియు ముగింపు గురించి వివరణాత్మక సమాచారంతో లాగ్ను ఉంచడానికి Sysmon మిమ్మల్ని అనుమతిస్తుంది. లాగ్ సాధారణ సమాచారాన్ని మాత్రమే కాకుండా, పేరెంట్ ప్రాసెస్ పేరు, ఎక్జిక్యూటబుల్ ఫైల్ల కంటెంట్ల హాష్లు, డైనమిక్ లైబ్రరీల గురించిన సమాచారం, సృష్టి/యాక్సెస్/సమయం గురించి సమాచారం వంటి భద్రత-సంబంధిత సంఘటనలను విశ్లేషించడానికి ఉపయోగకరమైన సమాచారాన్ని కూడా నిల్వ చేస్తుంది. ఫైల్ల మార్పు/తొలగింపు, పరికరాలను నిరోధించడానికి ప్రక్రియల యొక్క ప్రత్యక్ష ప్రాప్యత గురించి డేటా. రికార్డ్ చేయబడిన డేటా మొత్తాన్ని పరిమితం చేయడానికి, ఫిల్టర్లను కాన్ఫిగర్ చేయడం సాధ్యపడుతుంది. లాగ్ను ప్రామాణిక సిస్లాగ్ ద్వారా సేవ్ చేయవచ్చు.
మూలం: opennet.ru