Microsoft портировала Sysmon для операционной системы Linux. Также компания открыла код сервиса под лицензиями MIT и GPLv2.
Сервис мониторинга активности Sysmon для Linux работает с помощью подсистемы eBPF, благодаря которой появилась возможность запускать обработчики на уровне ядра ОС.
Также разработчики продолжают обновлять библиотеку SysinternalsEBPF. Это позволит создавать собственные BPF-обработчики, чтобы пользователь мог самостоятельно отслеживать изменения в системе.
Кроме этого, Microsoft добавила пакеты RPM и DEB в репозитории packages.microsoft.com, которые подойдут для самых ходовых дистрибутивов для Linux.
Sysmon дает возможность вести лог об активности процессов, сетевых соединений и операциях с файлами. Сервис мониторинга активности отличается детализированной информацией о ходе изменений в системе, благодаря чему у разработчиков появляется больше возможностей отследить утечки в безопасности Linux.
Сервис предоставляет доступ к таким данным, как хэши выполняемых операций, динамические библиотеки, имена родительских процессов, детальный отчет о модификации файлов и процессах блочных устройств.
Пользователям Sysmon также дали возможность установить разнообразные фильтры для обрабатываемой информации, а логи сервиса по умолчанию сохраняются при помощи Syslog.
