Das System Monitor Werkzeug für Windows (Sysmon) ist ein Systemdienst des Betriebssystems sowie Systemtreiber und ermöglicht ein weitgehendes Monitoring des Systems. Nun teilte Mark Russinovich, der bei Microsoft als Technikchef für die Cloud-Plattform Azure zuständig ist, mit das Sysmon neben Windows nun auch für Linux bereit steht.

Bereits seit einem Jahr arbeitet das Team an einer Portierung seines Werkzeugs und greift dafür auf die eBPF-Technik des Linux-Kernels zurück. Bei dieser Technik handelt es sich um eine virtuelle Maschine (VM) im Linux-Kernel selbst, die aus dem Berkeley Packet Filter (BPF) hervorgegangen ist.

Sysmon soll nun auch unter Linux eine tiefgreifende Beobachtung der Erstellung neuer Prozesse, samt Befehl und Eltern-Prozessen, sowie neuer oder gelöschter Dateien oder auch Zugriffe auf Festplatten ermöglichen. Des Weiteren können auch Netzwerkverbindungen überwacht werden. Sysmon soll keinerlei Analyse der geloggten Ereignisse durchführen und das Werkzeug sich auch nicht vor möglichen Angreifern verstecken, heißt es in der Beschreibung.

(hv, hannover)

(siehe auch: golem.de)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE