Microsoft erbjuder en mängd användbara verktyg för slutanvändare som kan användas för att justera, spela, felsöka, diagnostisera, säkra eller göra någonting med Windows-operativsystemet. Sysinternals Systemmonitor (Sysmon), är ett sådant nyligen släppt verktyg utformat för Windows-baserad dator som samlar alla systemloggfiler. Dessa loggfiler är mycket viktiga och avgörande för att förstå problem med Windows. En gång installerad Sysmon körs i bakgrunden som vilande och kan återupplivas vid behov.
Sysmon System Monitor för Windows
Det grundläggande arbetsflödet bakom System Monitor är att den lagrar information från Windows Event Collection (Event Viewer) och Security Information and Event Management (SIEM) -agenter som process-ID, GUID, SHA1, MD5 (SHA256) hash-loggar. Den lagrar alla dessa filer under Applikationer och tjänster \ loggar \ Microsoft \ Windows \ Sysmon \ operativt i Windows 10/8/7 / Vista och under Systemhändelselogg i äldre Windows-operativsystem som Windows XP.
Hur man installerar System Monitor
- Ladda ner Sysmon [nedladdningslänk nedan]
- Den nedladdade filen kommer att vara i zip-format. Packa upp filen med Windows standardfilhämtare eller försök Winrar, 7zip etc.
- När filen är uppackad kör du “Sysmon” acceptera EULA och slå Nästa.
- Vänta på System, Monitor för att slutföra installationen, det är allt!
Hur du använder Sysmon
Kommandoraden i sysmon kan användas för att installera, avinstallera, kontrollera och justera System Monitors konfiguration:
Installera: Sysmon.exe -i [-h [sha1 | md5 | sha256]] [-n]
Konfigurera: Sysmon.exe -c [[-h [sha1 | md5 | sha256]] [-n] | -]
Avinstallera: Sysmon.exe -u
Få kommandon som användaren behöver förstå är:
-jag: installera service- och drivrutinsprogram
-n: lagrar nätverksanslutningsloggar
-u: avinstallera service- och drivrutinsprogram
-c: det uppdaterar den installerade sysmondrivrutinen på datorn eller hjälper till att dumpa tillgängliga konfigurationsinställningar
-h: Den specificerar algoritmen som tillämpas på programmet [SHA1 tillämpas som standard]
Exempel:
- Så här installerar du programmet med standardinställningar: “sysmon -i accepteula” utan offert [SHA1 standard]
- Så här installerar du programmet med MD5 [SHA256] -inställningar: “sysmon -i accepteula -h md5 -n”
- Att avinstallera “sysmon -u”
System Monitor lagrar händelser som händelse-ID som,
- Händelse-ID 1: Används för att skapa processer,
- Händelse-ID 2: En process ändrade tid för skapande av filer med tidsstämpel och
- Händelse-ID 3: För nätverksanslutning.
Verktyget fortsätter att köras i bakgrunden och skriver alla händelseloggar i en mapp. Efter installation eller avinstallation krävs inte en omstart av systemet.
Det är ett måste-verktyg för alla datorer som körs på Windows. Ta tag i System Monitor-verktyget från här!
UPPDATERING: Windows Sysinternals Sysmon registrerar nu också processaktivitet i Windows-händelseloggen för användning av incidentidentifiering och kriminalteknisk analys, inkluderar drivrutinsbelastning och bildhämtningshändelser med signaturinformation, konfigurerbar hashingalgoritmrapportering, flexibla filter för att inkludera och exkludera händelser och stöd för tillhandahålla konfiguration via en konfigurationsfil istället för kommandoraden. Det blir också upptäckt av manipulering av skadlig programvara.