Özet
Sysmon for Linux, Microsoft’un Sysinternals ailesinden Linux ortamları için geliştirilmiş bir izleme/loglama aracıdır.
Amaç, sistem etkinliklerini (örneğin süreç yaşam döngüsü, ağ bağlantıları, dosya sistemi yazmaları vb.) izlemesi ve kayıt altına almasıdır.
Bu araç sistem yeniden başlatılsa bile izlemeye devam eder ve gelişmiş filtreleme yetenekleriyle kötü amaçlı faaliyetleri, saldırı izlerini veya kötü niyetli yazılımların davranışlarını tespit etmeye yardımcı olur.
Kernel ile etkileşimi eBPF (extended Berkeley Packet Filter) tabanlı modüller aracılığıyla yapar.
Projede ayrıca otomatik “offset” keşfi gibi mekanizmalar, manuel yapılandırma seçenekleri ve log görüntüleme yardımcı araçları da mevcuttur.
Lisans açısından, Sysmon for Linux MIT lisansı altında yayınlanmıştır; eBPF ile ilgili alt bileşenler GPL2 ile lisanslanmıştır.
Kabiliyetler / Özellikler (Capabilities / Features)
| Özellik / Feature | Açıklama |
|---|---|
| Süreç Yaşam Döngüsü İzleme | Yeni süreç başlatılması, sonlandırılması gibi olayları kaydeder. |
| Ağ Bağlantılarının İzlenmesi | TCP/UDP bağlantılarının açılması, kapanması gibi olayları izler. |
| Dosya Sistemi Yazmaları | Dosyalara yazma işlemleri loglanabilir. |
| Kalıcılık | Sistem yeniden başlatılsa bile izleme sürdürülür. |
| Gelişmiş Filtreleme | Hangi olayların ve hangi verilerin loglanacağı filtrelerle sınırlandırılabilir. |
| Otomatik Offset Keşfi | Kernel yapılarına ilişkin “offset” değerlerini otomatik olarak bulabilir (özellikle BTF etkin sistemlerde). |
| Manuel Offset Yapılandırması | Eğer otomatik keşif başarısız olursa, elle offset belirleme/override imkânı vardır. |
| Log Görüntüleyici | Kayıt edilen logları kolay okunabilir şekilde görüntülemek için “SysmonLogView” yardımcı aracıdır. |
| eBPF Tabanlı Mimari | Verimli, düşük maliyetli kernel etkileşimi için eBPF modülleri kullanılır. |
| Çoklu Kernel / Dağıtım Desteği | Farklı çekirdek versiyonları ve Linux dağıtımları ile çalışabilme (uygun offset yapılandırması ile). |
Summary
Sysmon for Linux is a monitoring/logging tool developed by Microsoft (as part of the Sysinternals family) specifically for Linux environments.
Its purpose is to monitor and log system activity such as process lifetimes, network connections, file writes, and more.
It persists across reboots and leverages advanced filtering to help detect malicious behavior, intrusion, and malware operations.
Sysmon interacts with the kernel using eBPF-based modules.
The project supports automatic offset discovery, manual configuration of offsets, and includes a log viewing helper tool (SysmonLogView).
In terms of licensing, Sysmon for Linux is released under the MIT License, while eBPF-related subcomponents are licensed under GPL2.