Microsoft предлагает множество полезных инструментов для конечных пользователей, которые могут использоваться для настройки, воспроизведения, устранения неполадок, диагностики, защиты или выполнения каких-либо действий с операционной системой Windows. Sysinternals Системный монитор (Sysmon), является одним из таких недавно выпущенных инструментов, предназначенных для компьютера под управлением Windows, который собирает все файлы системных журналов. Эти файлы журналов очень важны и важны для понимания проблем, связанных с Windows. Sysmon, однажды установленный, продолжает работать в фоновом режиме как спящий, и его можно вернуть к жизни, когда это необходимо.
Системный монитор Sysmon для Windows
Основной рабочий процесс System Monitor заключается в том, что он хранит информацию из журналов событий Windows Event Collection (Event Viewer) и Security Information и Event Management (SIEM), таких как идентификаторы процессов, идентификаторы GUID, SHA1, MD5 (SHA256). Он хранит все эти файлы в Приложения и службы журналы Microsoft Windows Sysmon operating в Windows Vista и более высоких операционных системах, таких как Windows 8 и Windows 7, и Журнал системных событий в более старых операционных системах Windows, таких как Windows XP.
- Скачать Sysmon [ссылка для скачивания, приведенная ниже]
- Загруженный файл будет в формате zip. Разархивируйте файл с помощью экстрактора файлов по умолчанию Windows или попробуйте Winrar, 7zip и т. Д.
- Как только файл распакуется, запустите «Sysmon» принять EULA и нажать следующий.
- Подождите, пока система, монитор, чтобы завершить установку, вот и все!
Как использовать Sysmon
Командная строка в sysmon может использоваться для установки, удаления, проверки и настройки конфигурации System Monitor:
Установите: Sysmon.exe -i [-h [sha1 | md5 | sha256] [-n]
Настроить: Sysmon.exe -c[-n] | -]
Удалить: Sysmon.exe -u
Немногие команды, которые пользователь должен понять:
– я: устанавливать службы и программы драйверов
- n: сохраняет журналы сетевых подключений
- u: удаление программ и драйверов
- с: он обновляет установленный драйвер sysmon на компьютере или помогает сбросить текущие настройки конфигурации
- час: Он задает алгоритм, применяемый к программе [по умолчанию применяется SHA1]
Примеры:
- Чтобы установить приложение с настройками по умолчанию: “sysmon -i accepteula” без кавычек [SHA1 по умолчанию]
- Чтобы установить приложение с настройками MD5 [SHA256]: “sysmon -i accepteula -h md5 -n”
- Чтобы удалить “sysmon -u”
Системный монитор сохраняет такие события, как идентификаторы событий,
- Идентификатор события 1: Используется для создания процесса,
- Идентификатор события 2: Процесс изменил время создания файла с отметкой времени и
- Идентификатор события 3: Для сетевого подключения.
Инструмент будет работать в фоновом режиме и будет записывать все журналы событий в папку. После установки или удаления перезагрузка системы не является обязательной.
Это обязательный инструмент для всех компьютеров, работающих в Windows. Go grab System Monitor от Вот!
ОБНОВИТЬ: Microsoft Sysinternals Sysmon теперь также записывает активность процесса в журнал событий Windows для использования при обнаружении инцидентов и криминалистическом анализе, включает в себя загрузку драйверов и события загрузки изображений с информацией о сигнатуре, настраиваемую отчетность хеширующего алгоритма, гибкие фильтры для включения и исключения событий и поддержку поставляя конфигурацию через файл конфигурации вместо командной строки.
