Microsofts mye brukte System Monitor-verktøy (Sysmon), som opprinnelig het Sysinternals Sysmon, er 25 år i disse dager. I den forbindelse har det blitt utgitt en Linux-versjon, selvfølgelig basert på åpen kildekode.
Sysinternals er fortsatt en serie med systemverktøy for Windows som opprinnelig ble skapt av Mark Russinovich, som i dag er teknologidirektør for Microsoft Azure.
I likhet med Windows-versjonen, er Sysmon for Linux et verktøy for å registrere sikkerhetsrelaterte hendelser i operativsystemet. Linux-versjonen gjør dette ved hjelp av eBPF (Extended Berkeley Packet Filter), for deretter å sende dem til Syslog, hvor de enkelt kan behandles videre.
Prosesser, filer og nettverk
Blant det Sysmon kan overvåke, er systemkall og detaljer knyttet til opprettelse og terminering av prosesser, opprettelse av nettverksforbindelser og enkelte filrelaterte hendelser. Hva som skal overvåkes, kan administratoren bestemme ved å tilpasse en egen konfigurasjonsfil.
Som nevnte er Sysmon for Linux basert på eBPF. Dersom man ønsker å kompilere Sysmon selv, må eBPF være installert på forhånd. I denne artikkelen finnes det blant annet en beskrivelse av hvordan dette gjøres.
Sysmon for Linux er også tilgjengelig i ferdig kompilerte pakker til noen av de vanligste Linux-distribusjonene.
Flere detaljer om installasjonen og bruken av Sysmon for Linux finnes i denne artikkelen.
