Microsoft tilbyr et vell av nyttig verktøy for sluttbrukere som kan brukes til å justere, spille, feilsøke, diagnostisere, sikre eller gjøre noe med Windows-operativsystemet. Sysinternals System Monitor (Sysmon), er et slikt nylig utgitt verktøy designet for Windows-basert datamaskin som samler alle systemloggfiler. Disse loggfilene er svært viktige og avgjørende for å forstå problemer knyttet til Windows. Sysmon en gang installert holder kjører i bakgrunnen som sovende og kan bringes tilbake til livet når det kreves.
Sysmon System Monitor for Windows
Den grunnleggende arbeidsflyten bak System Monitor, er at den lagrer informasjon fra agenthenterassister (Event Viewer) og Security Information and Event Management (SIEM) -agenter som prosess ID, GUID, SHA1, MD5 (SHA256) hash-logger. Det lagrer alle disse filene under Programmer og tjenester logger Microsoft Windows Sysmon operativ mappe i Windows Vista og høyere operativsystemer som Windows 8 og Windows 7, og under Systemhendelseslogg i eldre Windows-operativsystemer som Windows XP.
- Last ned Sysmon [last ned lenke nedenfor]
- Nedlastet fil vil være i zip-format. Unzip filen ved hjelp av Windows Standard File Extractor eller prøv Winrar, 7zip etc
- Når filen er utpakket, kjør du “Sysmon” godta EULA og treffe neste.
- Vent på System, Monitor for å fullføre installasjonen, det er alt!
Hvordan bruke Sysmon
Kommandolinjen i sysmon kan brukes til å installere, avinstallere, sjekke og tilpasse systemmonitorens konfigurasjon:
Installer: Sysmon.exe -i [-h [sha1 | md5 | sha256] [-n]
Konfigurer: Sysmon.exe -c[-n] | -]
Avinstaller: Sysmon.exe -u
Få kommandoer som brukeren må forstå er:
– Jeg: installer service og driverprogrammer
- n: Lagrer nettverksforbindelseslogger
- u: avinstaller service og driverprogrammer
- c: Det oppdaterer installert sysmon-driver på datamaskinen eller bidrar til å dumpe gjeldende konfigurasjonsinnstillinger tilgjengelig
- H: Det spesifiserer algoritmen som er brukt på programmet [som standard SHA1 brukes]
eksempler:
- Slik installerer du programmet med standardinnstillinger: “sysmon -i acceptteula” uten anførselstegn [SHA1 standard]
- Slik installerer du programmet med MD5 [SHA256] innstillinger: “sysmon -i acceptteula -h md5 -n”
- For å avinstallere “sysmon -u”
System Monitor lagrer hendelser som Event IDs som,
- Hendelses-ID 1: Brukes for prosessoppretting,
- Hendelses-ID 2: En prosess endret en filopprettelsestid med tidsstempel og
- Event ID 3: For nettverksforbindelse.
Verktøyet vil fortsette å løpe i bakgrunnen og vil skrive alle hendelseslogger til en mappe. Etter installasjon eller avinstallasjon er det ikke nødvendig å starte omstart av systemet.
Det er et må ha verktøy for alle datamaskiner som kjører på Windows. Ta tak i systemovervåkingsverktøyet fra her!
OPPDATER: Microsoft Sysinternals Sysmon registrerer nå prosessaktivitet til Windows-hendelsesloggen for bruk ved hendelsesdeteksjon og rettsmedisinsk analyse, inkluderer driverbelastning og bildebelastningshendelser med signaturinformasjon, konfigurerbar hashingalgoritmrapportering, fleksible filtre for å inkludere og ekskludere hendelser og støtte for leverer konfigurasjon via en konfigurasjonsfil i stedet for kommandolinjen.