Phenquestions
Microsoft oferă o mulțime de instrumente utile pentru utilizatorii finali, care pot fi folosite pentru modificarea, redarea, depanarea, diagnosticarea, securizarea sau a face orice cu sistemul de operare Windows. Sysinternals Monitor sistem (Sysmon), este un astfel de instrument nou lansat conceput pentru computerul bazat pe Windows care colectează toate fișierele jurnal de sistem. Aceste fișiere jurnal sunt foarte importante și cruciale pentru a înțelege problemele legate de Windows. Odată instalat, Sysmon continuă să ruleze în fundal, deoarece este inactiv și poate fi readus la viață atunci când este necesar.
Sysmon System Monitor pentru Windows
Fluxul de lucru de bază din spatele System Monitor este că stochează informații din colecția de evenimente Windows (Event Viewer) și informații de securitate și agenți de gestionare a evenimentelor (SIEM), cum ar fi ID-uri de proces, GUID-uri, SHA1, MD5 (SHA256) jurnale hash. Stochează toate aceste fișiere sub Aplicații și servicii \ jurnale \ Microsoft \ Windows \ Sysmon \ operațional folder în Windows 10/8/7 / Vista și sub Jurnalul de evenimente al sistemului în sistemele de operare Windows mai vechi, cum ar fi Windows XP.
Cum se instalează System Monitor
- Descărcați Sysmon [linkul de descărcare furnizat mai jos]
- Fișierul descărcat va fi în format zip. Dezarhivați fișierul utilizând extractorul de fișiere implicit Windows sau încercați Winrar, 7zip etc.
- Odată ce fișierul este dezarhivat, rulați „Sysmon” acceptați EULA și apăsați Next.
- Așteptați ca Sistemul, monitorul să finalizeze instalarea, atât!
Cum se utilizează Sysmon
Linia de comandă din sysmon poate fi utilizată pentru a instala, dezinstala, verifica și regla configurația Monitorului de sistem:
Instalați: Sysmon.exe -i [-h [sha1 | md5 | sha256]] [-n]
Configurați: Sysmon.exe -c [[-h [sha1 | md5 | sha256]] [-n] | -]
Dezinstalare: Sysmon.exe -u
Puține comenzi pe care utilizatorul trebuie să le înțeleagă sunt:
-eu: instalați programe de service și driver
-n: stochează jurnalele de conexiune la rețea
-tu: dezinstalați programele de service și driver
-c: actualizează driverul sysmon instalat pe computer sau ajută la eliminarea setărilor actuale de configurare disponibile
-h: Specifică algoritmul aplicat programului [implicit se aplică SHA1]
Exemple:
- Pentru a instala aplicația cu setările implicite: „sysmon -i accepteula” fără ghilimele [implicit SHA1]
- Pentru a instala aplicația cu setările MD5 [SHA256]: „sysmon -i accepteula -h md5 -n”
- Pentru a dezinstala „sysmon -u”
System Monitor stochează evenimente precum ID-urile evenimentului ca,
- ID eveniment 1: Folosit pentru crearea proceselor,
- ID eveniment 2: Un proces a schimbat timpul de creare a fișierelor cu timestamp și
- ID-ul evenimentului 3: Pentru conexiune la rețea.
Instrumentul va continua să ruleze în fundal și va scrie toate jurnalele de evenimente într-un folder. După instalare sau dezinstalare, repornirea sistemului nu este necesară.
Este un instrument obligatoriu pentru toate computerele care rulează pe Windows. Accesați instrumentul Monitor de sistem de la Aici!
ACTUALIZAȚI: Windows Sysinternals Sysmon înregistrează acum și activitatea procesului în jurnalul de evenimente Windows pentru utilizare prin detectarea incidentelor și analiza criminalistică, include evenimente de încărcare a driverului și de încărcare a imaginii cu informații despre semnături, raportare configurabilă a algoritmului de hash, filtre flexibile pentru includerea și excluderea evenimentelor și suport pentru furnizarea configurației printr-un fișier de configurare în locul liniei de comandă. De asemenea, primește detectarea falsificării proceselor malware.
