Pull to refresh

Microsoft запустила открытую версию Sysmon для Linux

Reading time 1 min
Views 5.4K

Microsoft портировала Sysmon для операционной системы Linux. Также компания открыла код сервиса под лицензиями MIT и GPLv2. 

Сервис мониторинга активности Sysmon для Linux работает с помощью подсистемы eBPF, благодаря которой появилась возможность запускать обработчики на уровне ядра ОС.

Также разработчики продолжают обновлять библиотеку SysinternalsEBPF. Это позволит создавать собственные BPF-обработчики, чтобы пользователь мог самостоятельно отслеживать изменения в системе. 

Кроме этого, Microsoft добавила пакеты RPM и DEB в репозитории packages.microsoft.com, которые подойдут для самых ходовых дистрибутивов для Linux.

Sysmon дает возможность вести лог об активности процессов, сетевых соединений и операциях с файлами. Сервис мониторинга активности отличается детализированной информацией о ходе изменений в системе, благодаря чему у разработчиков появляется больше возможностей отследить утечки в безопасности Linux. 

Сервис предоставляет доступ к таким данным, как хэши выполняемых операций, динамические библиотеки, имена родительских процессов, детальный отчет о модификации файлов и процессах блочных устройств.

Пользователям Sysmon также дали возможность установить разнообразные фильтры для обрабатываемой информации, а логи сервиса по умолчанию сохраняются при помощи Syslog.

Tags:
Hubs:
+9
Comments 1
Comments Comments 1

Other news