Phenquestions
Microsoft предлагает множество полезных инструментов для конечных пользователей, которые можно использовать для настройки, игры, устранения неполадок, диагностики, защиты или выполнения каких-либо действий с операционной системой Windows. Sysinternals Системный монитор (Sysmon), - один из таких недавно выпущенных инструментов, предназначенный для компьютеров под управлением Windows, который собирает все файлы системного журнала. Эти файлы журналов очень важны и важны для понимания проблем, относящихся к Windows. После установки Sysmon продолжает работать в фоновом режиме как бездействующий и может быть возвращен к жизни при необходимости.
Системный монитор Sysmon для Windows
Основной рабочий процесс System Monitor заключается в том, что он хранит информацию из агентов Windows Event Collection (Event Viewer) и Security Information and Event Management (SIEM), таких как идентификаторы процессов, GUID, хэш-журналы SHA1, MD5 (SHA256). Он хранит все эти файлы в Приложения и службы \ журналы \ Microsoft \ Windows \ Sysmon \ operating папка в Windows 10/8/7 / Vista и под Журнал системных событий в более старых операционных системах Windows, таких как Windows XP.
Как установить системный монитор
- Загрузите Sysmon [ссылка для скачивания указана ниже]
- Загруженный файл будет в формате zip. Разархивируйте файл с помощью средства извлечения файлов по умолчанию в Windows или попробуйте Winrar, 7zip и т. Д.
- После распаковки файла запустите «Сисмон» примите лицензионное соглашение и нажмите Далее.
- Подождите, пока система, монитор завершит установку, вот и все!
Как использовать Sysmon
Командную строку в sysmon можно использовать для установки, удаления, проверки и настройки конфигурации системного монитора:
Установить: Sysmon.exe -i [-h [sha1 | md5 | sha256]] [-n]
Настроить: Sysmon.exe -c [[-h [sha1 | md5 | sha256]] [-n] | -]
Удалить: Sysmon.exe -u
Вот несколько команд, которые необходимо понять пользователю:
-я: установить сервисные и драйверные программы
-п: хранит журналы сетевых подключений
-ты: удалить служебные программы и драйверы
-c: обновляет установленный на компьютере драйвер sysmon или помогает сбросить текущие доступные параметры конфигурации
-час: Определяет алгоритм, применяемый к программе [по умолчанию применяется SHA1]
Примеры:
- Чтобы установить приложение с настройками по умолчанию: «sysmon -i acceptpteula” без кавычек [SHA1 по умолчанию]
- Чтобы установить приложение с настройками MD5 [SHA256]: «sysmon -i acceptpteula -h md5 -n”
- Чтобы удалить «sysmon -u”
Системный монитор сохраняет такие события, как идентификаторы событий, как,
- Идентификатор события 1: Используется для создания процесса,
- Идентификатор события 2: Процесс изменил время создания файла с отметкой времени и
- Идентификатор события 3: Для сетевого подключения.
Инструмент будет продолжать работать в фоновом режиме и будет записывать все журналы событий в папку. После установки или удаления перезагрузка системы не требуется.
Это обязательный инструмент для всех компьютеров, работающих под управлением Windows. Возьмите инструмент System Monitor из здесь!
ОБНОВИТЬ: Windows Sysinternals Sysmon теперь также записывает активность процессов в журнал событий Windows для использования при обнаружении инцидентов и криминалистическом анализе, включает события загрузки драйвера и загрузки изображений с информацией о сигнатуре, настраиваемый алгоритм хеширования отчетов, гибкие фильтры для включения и исключения событий и поддержку предоставление конфигурации через файл конфигурации вместо командной строки. Он также получает обнаружение взлома вредоносного процесса.
