Microsoftは10月14日(米国時間)、Windowsで提供しているシステム監視ツール「Sysmon」のLinux版「Syemon For Linux」をオープンソースとして公開した。SysmonはMicrosoftがWindowsシステムの管理者やアプリケーション開発者向けに提供しているユーティリティ「Windows Sysinternals」の一部であり、疑わしいアクティビティのログを記録して分析できるようにするコマンドラインベースの監視ツールである。Linux版Sysmonの公開は、Windows Sysinternalsの25周年を記念して行われた。

Wiondowsのユーザーは、Syemonを利用することでプロセスの開始や終了、ネットワークへの接続、デバイスへのアクセス、ファイルへのアクセスなどのログを記録できるようになる。記録したログは、Windows PowerShellやイベント ビューアなどを用いて分析することができる。

Sysmon For LinuxはSysmonと同様の機能をLinuxで使用できるようにするもの。Linuxに備わっているeBPF(Extended Berkeley Packet Filter)と呼ばれるカーネル拡張機能を利用することで、Linuxカーネルからさまざまな情報を取得することが可能になっている。

Sysmon For LinuxのソースコードはGitHubの次のリポジトリにホストされている。記録したログの情報を閲覧するためのツール「SysmonLogView」も公開されており、Sysmon For Linuxと同時にインストールされる。

  • Sysmon For LinuxのGitHubリポジトリ

    Sysmon For LinuxのGitHubリポジトリ

ライセンスは、Sysmon For Linux本体はMIT Licenseだが、eBPFプログラムとeBPFコードライブラリはGPL v2、Sysmon For Linuxが依存しているSysinternalsEBPFはLGPL v2.1となっている。