微軟已經將Sysmon系統中的活動監控服務移植到Linux平台上了。 為了監視 Linux 的操作,使用了 eBPF 子系統,它允許您啟動在作業系統核心層級執行的處理程序。 SysinternalsEBPF 程式庫正在單獨開發,包括用於建立 BPF 處理程序以監視系統中的事件的有用函數。 工具包代碼在 MIT 許可證下開放,BPF 程式在 GPLv2 許可證下開放。 packages.microsoft.com 儲存庫包含適用於流行 Linux 發行版的現成 RPM 和 DEB 軟體包。
Sysmon 可讓您保留有關進程建立和終止、網路連線和檔案操作的詳細資訊的日誌。 日誌不僅儲存一般信息,還儲存對分析安全事件有用的信息,例如父進程的名稱、可執行檔內容的哈希值、有關動態庫的信息、有關創建/訪問/更改/時間的信息刪除文件、有關進程直接存取區塊設備的資料。 為了限制記錄的資料量,可以配置過濾器。 日誌可以透過標準 Syslog 保存。
來源: opennet.ru