微软已经将Sysmon系统中的活动监控服务移植到了Linux平台上。 为了监视 Linux 的操作,使用了 eBPF 子系统,它允许您启动在操作系统内核级别运行的处理程序。 SysinternalsEBPF 库正在单独开发,包括用于创建 BPF 处理程序以监视系统中的事件的有用函数。 工具包代码在 MIT 许可证下开放,BPF 程序在 GPLv2 许可证下开放。 packages.microsoft.com 存储库包含适用于流行 Linux 发行版的现成 RPM 和 DEB 软件包。
Sysmon 允许您保留有关进程创建和终止、网络连接和文件操作的详细信息的日志。 日志不仅存储一般信息,还存储对分析安全事件有用的信息,例如父进程的名称、可执行文件内容的哈希值、有关动态库的信息、有关创建/访问/更改/时间的信息删除文件、有关进程直接访问块设备的数据。 为了限制记录的数据量,可以配置过滤器。 日志可以通过标准 Syslog 保存。
来源: opennet.ru