Inilipat ng Microsoft ang serbisyo sa pagsubaybay sa aktibidad sa Sysmon system sa platform ng Linux. Upang subaybayan ang pagpapatakbo ng Linux, ang eBPF subsystem ay ginagamit, na nagbibigay-daan sa iyo upang ilunsad ang mga humahawak na tumatakbo sa antas ng kernel ng operating system. Ang SysinternalsEBPF library ay binuo nang hiwalay, kabilang ang mga function na kapaki-pakinabang para sa paglikha ng mga BPF handler para sa pagsubaybay sa mga kaganapan sa system. Ang code ng toolkit ay bukas sa ilalim ng lisensya ng MIT, at ang mga programa ng BPF ay nasa ilalim ng lisensya ng GPLv2. Ang packages.microsoft.com repository ay naglalaman ng mga handa na RPM at DEB na pakete na angkop para sa mga sikat na pamamahagi ng Linux.
Binibigyang-daan ka ng Sysmon na panatilihin ang isang log na may detalyadong impormasyon tungkol sa paglikha at pagwawakas ng mga proseso, koneksyon sa network at pagmamanipula ng file. Ang log ay nag-iimbak hindi lamang ng pangkalahatang impormasyon, kundi pati na rin ang impormasyong kapaki-pakinabang para sa pagsusuri ng mga insidente sa seguridad, tulad ng pangalan ng proseso ng magulang, mga hash ng mga nilalaman ng mga executable na file, impormasyon tungkol sa mga dynamic na aklatan, impormasyon tungkol sa oras ng paglikha/pag-access/pagbabago/ pagtanggal ng mga file, data tungkol sa direktang pag-access ng mga proseso upang harangan ang mga device. Upang limitahan ang dami ng naitala na data, posibleng i-configure ang mga filter. Maaaring i-save ang log sa pamamagitan ng karaniwang Syslog.
Pinagmulan: opennet.ru