Microsoft pakub lõppkasutajatele hulgaliselt kasulikke tööriistu, mida saab kasutada Windowsi operatsioonisüsteemiga näpistamiseks, mängimiseks, tõrkeotsinguks, diagnoosimiseks, turvamiseks või mis tahes toimimiseks. Sisemised Süsteemimonitor (Sysmon), on üks sellistest hiljuti välja antud tööriistadest, mis on loodud Windowsi-põhiste arvutite jaoks ja kogub kõik süsteemi logifailid. Need logifailid on Windowsi probleemide mõistmiseks väga olulised ja üliolulised. Kui installitud Sysmon töötab, töötab ta taustal unetuna ja seda saab vajadusel uuesti ellu äratada.
Sysmoni süsteemimonitor Windowsi jaoks
Süsteemimonitori peamine töövoog on see, et see salvestab teavet Windowsi sündmuste kogu (Event Viewer) ja turbeteabe ning sündmuste haldamise (SIEM) agentidelt, näiteks protsessi ID-d, GUID-id, SHA1, MD5 (SHA256) räsilogid. See salvestab kõik need failid alla Rakendused ja teenused \ logs \ Microsoft \ Windows \ Sysmon \ working kaust Windows 10/8/7 / Vistas ja alla Süsteemi sündmuste logi vanemates Windowsi operatsioonisüsteemides nagu Windows XP.
Süsteemimonitori installimine
- Laadige alla Sysmon [allalaadimislink allpool]
- Allalaaditud fail on ZIP-vormingus. Pakkige fail lahti Windowsi vaikefailide ekstraktori abil või proovige Winrarit, 7zipit jne.
- Kui fail on lahti pakitud, käivitage "Sysmon" nõustuge EULA-ga ja vajutage Next.
- Oodake, kuni süsteem, monitor installimise lõpule viivad, see on kõik!
Kuidas Sysmonit kasutada
Sysmoni käsurida saab kasutada System Monitori konfiguratsiooni installimiseks, desinstallimiseks, kontrollimiseks ja kohandamiseks:
Installige: Sysmon.exe -i [-h [sha1 | md5 | sha256]] [-n]
Konfigureeri: Sysmon.exe -c [[-h [sha1 | md5 | sha256]] [-n] | -]
Desinstalli: Sysmon.exe -u
Vähesed käsud, mida kasutaja peab mõistma, on:
-i: installige teenuse- ja draiveriprogramme
-n: salvestab võrguühenduse logisid
-u: desinstallige teenus ja draiveriprogrammid
-c: see värskendab arvutisse installitud sysmoni draiverit või aitab praeguseid saadaolevaid konfiguratsioonisätteid tühjendada
-h: See määrab programmile rakendatud algoritmi [vaikimisi rakendatakse SHA1]
Näited:
- Rakenduse installimiseks vaikeseadetega tehke järgmist "sysmon -i accepteula” jutumärkideta [vaikimisi SHA1]
- Rakenduse MD5 [SHA256] sätetega installimiseks toimige järgmiselt "sysmon -i accepteula -h md5 -n”
- Desinstallimiseks "sysmon -u”
System Monitor salvestab sellised sündmused nagu sündmuste ID-d kui,
- Sündmuse ID 1: Kasutatakse protsessi loomiseks,
- Sündmuse ID 2: Protsess muutis faili loomise aega ajatempliga ja
- Sündmuse ID 3: Võrguühenduse jaoks.
Tööriist töötab taustal ja kirjutab kõik sündmuste logid kausta. Pärast installimist või desinstallimist pole süsteemi taaskäivitamine vajalik.
See on kohustuslik tööriist kõigile Windowsi operatsioonisüsteemiga arvutitele. Haara süsteemimonitori tööriist siin!
UUENDAMINE: Windows Sysinternals Sysmon salvestab nüüd ka protsessitegevuse Windowsi sündmuste logisse intsidentide tuvastamise ja kohtuekspertiisi analüüsi jaoks, sisaldab draiveri koormuse ja pildi laadimise sündmusi koos allkirja teabega, konfigureeritavat räsialgoritmi aruandlust, paindlikke filtreid sündmuste kaasamiseks ja väljajätmiseks ning tuge konfiguratsiooni pakkumine käsurea asemel konfiguratsioonifaili kaudu. Samuti tuvastatakse pahavaraprotsessi rikkumine.