Microsoft ponuja kopico uporabnih orodij za končne uporabnike, ki jih je mogoče uporabiti za prilagajanje, predvajanje, odpravljanje težav, diagnosticiranje, zaščito ali kar koli z operacijskim sistemom Windows. Sysinternals Sistemski monitor (Sysmon), je eno tako novo izdanih orodij, zasnovanih za računalnike s sistemom Windows, ki zbira vse sistemske dnevniške datoteke. Te dnevniške datoteke so zelo pomembne in ključne za razumevanje težav, povezanih z operacijskim sistemom Windows. Po namestitvi Sysmon deluje v ozadju v mirujočem stanju in ga po potrebi lahko oživi.
Sysmon System Monitor za Windows
Osnovni potek dela za System Monitor je, da shranjuje podatke iz zbirke dogodkov Windows (pregledovalnik dogodkov) in agentov za varnostne informacije in upravljanje dogodkov (SIEM), kot so ID-ji procesov, GUID-ji, razpršeni dnevniki SHA1, MD5 (SHA256). Vse te datoteke shrani pod Aplikacije in storitve \ dnevniki \ Microsoft \ Windows \ Sysmon \ operativen mapa v operacijskem sistemu Windows 10/8/7 / Vista in pod Dnevnik sistemskih dogodkov v starejših operacijskih sistemih Windows, kot je Windows XP.
Kako namestiti System Monitor
- Prenesite Sysmon [spodnja povezava za prenos]
- Prenesena datoteka bo v zip obliki. Razpakirajte datoteko s privzetim ekstraktorjem datotek v sistemu Windows ali poskusite Winrar, 7zip itd.
- Ko je datoteka razpakirana, zaženite "Sysmon" sprejmite pogodbo EULA in pritisnite Next.
- Počakajte, da System, Monitor zaključi namestitev, to je vse!
Kako uporabljati Sysmon
Ukazno vrstico v sysmonu lahko uporabite za namestitev, odstranitev, preverjanje in prilagajanje konfiguracije sistemskega monitorja:
Namesti: Sysmon.exe -i [-h [sha1 | md5 | sha256]] [-n]
Konfiguracija: Sysmon.exe -c [[-h [sha1 | md5 | sha256]] [-n] | -]
Odstrani: Sysmon.exe -u
Nekaj ukazov, ki jih mora uporabnik razumeti, je:
-jaz: namestite servisne in gonilniške programe
-n: shranjuje dnevnike omrežne povezave
-u: odstranite servisne in gonilniške programe
-c: posodobi nameščeni gonilnik sysmon v računalniku ali pomaga odstraniti trenutne razpoložljive nastavitvene nastavitve
-h: Določa algoritem, ki se uporablja za program [privzeto se uporablja SHA1]
Primeri:
- Če želite namestiti aplikacijo s privzetimi nastavitvami: “sysmon -i acceptteula" brez narekovajev [privzeto SHA1]
- Če želite namestiti aplikacijo z nastavitvami MD5 [SHA256]: “sysmon -i acceptteula -h md5 -n"
- Če želite odstraniti “sysmon -u"
System Monitor dogodke, kot so ID-ji dogodkov, shrani kot,
- ID dogodka 1: Uporablja se za ustvarjanje procesa,
- ID dogodka 2: Proces je spremenil čas ustvarjanja datoteke s časovnim žigom in
- ID dogodka 3: Za omrežno povezavo.
Orodje bo še naprej delovalo v ozadju in vse dnevnike dogodkov zapisovalo v mapo. Po namestitvi ali odstranitvi ni potreben ponovni zagon sistema.
Je nujno orodje za vse računalnike z operacijskim sistemom Windows. Pojdite na orodje System Monitor iz tukaj!
NADGRADNJA: Windows Sysinternals Sysmon zdaj zapisuje tudi dejavnosti procesa v dnevnik dogodkov sistema Windows za uporabo z odkrivanjem incidentov in forenzično analizo, vključuje nalaganje gonilnikov in dogodke nalaganja slik s podatki o podpisu, nastavljivo poročanje algoritma razprševanja, prilagodljive filtre za vključitev in izključitev dogodkov ter podporo za dobava konfiguracije prek konfiguracijske datoteke namesto ukazne vrstice. Prav tako dobi zaznavanje posegov v zlonamerno programsko opremo.