Sysinternals Sysmon systemmonitor for Windows

Innholdsfortegnelse:

Sysinternals Sysmon systemmonitor for Windows
Sysinternals Sysmon systemmonitor for Windows

Video: Sysinternals Sysmon systemmonitor for Windows

Video: Sysinternals Sysmon systemmonitor for Windows
Video: Microsoft 365 Apps - YouTube 2024, November
Anonim

Microsoft tilbyr et vell av nyttig verktøy for sluttbrukere som kan brukes til å justere, spille, feilsøke, diagnostisere, sikre eller gjøre noe med Windows-operativsystemet. Sysinternals System Monitor (Sysmon), er et slikt nylig utgitt verktøy designet for Windows-basert datamaskin som samler alle systemloggfiler. Disse loggfilene er svært viktige og avgjørende for å forstå problemer knyttet til Windows. Sysmon en gang installert holder kjører i bakgrunnen som sovende og kan bringes tilbake til livet når det kreves.

Sysmon System Monitor for Windows

Den grunnleggende arbeidsflyten bak System Monitor, er at den lagrer informasjon fra agenthenterassister (Event Viewer) og Security Information and Event Management (SIEM) -agenter som prosess ID, GUID, SHA1, MD5 (SHA256) hash-logger. Det lagrer alle disse filene under Programmer og tjenester logger Microsoft Windows Sysmon operativ mappe i Windows Vista og høyere operativsystemer som Windows 8 og Windows 7, og under Systemhendelseslogg i eldre Windows-operativsystemer som Windows XP.

Slik installerer du System Monitor
Slik installerer du System Monitor
  • Last ned Sysmon [last ned lenke nedenfor]
  • Nedlastet fil vil være i zip-format. Unzip filen ved hjelp av Windows Standard File Extractor eller prøv Winrar, 7zip etc
  • Når filen er utpakket, kjør du “Sysmon” godta EULA og treffe neste.
  • Vent på System, Monitor for å fullføre installasjonen, det er alt!

Hvordan bruke Sysmon

Kommandolinjen i sysmon kan brukes til å installere, avinstallere, sjekke og tilpasse systemmonitorens konfigurasjon:

Installer: Sysmon.exe -i [-h [sha1 | md5 | sha256] [-n]

Konfigurer: Sysmon.exe -c[-n] | -]

Avinstaller: Sysmon.exe -u

Få kommandoer som brukeren må forstå er:

Jeg: installer service og driverprogrammer

- n: Lagrer nettverksforbindelseslogger

- u: avinstaller service og driverprogrammer

- c: Det oppdaterer installert sysmon-driver på datamaskinen eller bidrar til å dumpe gjeldende konfigurasjonsinnstillinger tilgjengelig

- H: Det spesifiserer algoritmen som er brukt på programmet [som standard SHA1 brukes]

eksempler:

  • Slik installerer du programmet med standardinnstillinger: “sysmon -i acceptteula” uten anførselstegn [SHA1 standard]
  • Slik installerer du programmet med MD5 [SHA256] innstillinger: “sysmon -i acceptteula -h md5 -n”
  • For å avinstallere “sysmon -u”

System Monitor lagrer hendelser som Event IDs som,

  • Hendelses-ID 1: Brukes for prosessoppretting,
  • Hendelses-ID 2: En prosess endret en filopprettelsestid med tidsstempel og
  • Event ID 3: For nettverksforbindelse.

Verktøyet vil fortsette å løpe i bakgrunnen og vil skrive alle hendelseslogger til en mappe. Etter installasjon eller avinstallasjon er det ikke nødvendig å starte omstart av systemet.

Det er et må ha verktøy for alle datamaskiner som kjører på Windows. Ta tak i systemovervåkingsverktøyet fra her!

OPPDATER: Microsoft Sysinternals Sysmon registrerer nå prosessaktivitet til Windows-hendelsesloggen for bruk ved hendelsesdeteksjon og rettsmedisinsk analyse, inkluderer driverbelastning og bildebelastningshendelser med signaturinformasjon, konfigurerbar hashingalgoritmrapportering, fleksible filtre for å inkludere og ekskludere hendelser og støtte for leverer konfigurasjon via en konfigurasjonsfil i stedet for kommandolinjen.

Anbefalt: