Microsoft, Sysmon sistemindeki aktivite izleme hizmetini Linux platformuna taşıdı. Linux'un çalışmasını izlemek için, işletim sistemi çekirdeği düzeyinde çalışan işleyicileri başlatmanıza olanak tanıyan eBPF alt sistemi kullanılır. SysinternalsEBPF kitaplığı, sistemdeki olayları izlemek için BPF işleyicileri oluşturmaya yönelik yararlı işlevler de dahil olmak üzere ayrı olarak geliştirilmektedir. Araç seti kodu MIT lisansı altında açıktır ve BPF programları GPLv2 lisansı altındadır. package.microsoft.com deposu, popüler Linux dağıtımlarına uygun hazır RPM ve DEB paketlerini içerir.
Sysmon, süreçlerin oluşturulması ve sonlandırılması, ağ bağlantıları ve dosya manipülasyonları hakkında ayrıntılı bilgiler içeren bir günlük tutmanıza olanak tanır. Günlük yalnızca genel bilgileri değil, aynı zamanda ana işlemin adı, yürütülebilir dosyaların içeriğinin karmaları, dinamik kitaplıklar hakkında bilgiler, oluşturma/erişim/değiştirme/oluşturma zamanı hakkındaki bilgiler gibi güvenlik olaylarını analiz etmek için yararlı bilgileri de saklar. dosyaların silinmesi, cihazların engellenmesi için işlemlere doğrudan erişime ilişkin veriler. Kaydedilen veri miktarını sınırlamak için filtreleri yapılandırmak mümkündür. Günlük, standart Syslog aracılığıyla kaydedilebilir.
Kaynak: opennet.ru