Microsoft piedāvā galalietotājiem daudz noderīgu rīku, kurus var izmantot, lai kniebtu, atskaņotu, veiktu problēmu novēršanu, diagnosticētu, aizsargātu vai kaut ko darītu ar Windows operētājsistēmu. Sysinternals Sistēmas monitors (Sysmon), ir viens no šādiem nesen izlaistiem rīkiem, kas paredzēti Windows datoriem, kuri apkopo visus sistēmas žurnāla failus. Šie žurnālfaili ir ļoti svarīgi un izšķiroši, lai izprastu ar Windows saistītos jautājumus. Kad instalēts Sysmon, tas fonā darbojas kā neaktīvs un, ja nepieciešams, to var atdzīvināt.
Sysmon sistēmas monitors Windows
Sistēmas monitora pamata darbplūsma ir tā, ka tajā tiek glabāta informācija no Windows notikumu kolekcijas (Event Viewer) un drošības informācijas un notikumu pārvaldības (SIEM) aģentiem, piemēram, procesu ID, GUID, SHA1, MD5 (SHA256) jaukšanas žurnāli. Tas visus šos failus glabā zem Applications and Services \ logs \ Microsoft \ Windows \ Sysmon \ operation Windows 10/8/7 / Vista un jaunākās mapēs Sistēmas notikumu žurnāls vecākās Windows operētājsistēmās, piemēram, Windows XP.
Kā instalēt sistēmas monitoru
- Lejupielādēt Sysmon [lejupielādes saite sniegta zemāk]
- Lejupielādētais fails būs ZIP formātā. Atbrīvojiet failu, izmantojot Windows noklusējuma failu nosūcēju, vai izmēģiniet Winrar, 7zip utt.
- Kad fails ir atvienots, palaidiet “Sysmon” pieņem EULA un nospied Next.
- Pagaidiet, līdz sistēma, monitors ir pabeidzis instalēšanu, tas arī viss!
Kā lietot Sysmon
Sysmon komandrindu var izmantot, lai instalētu, atinstalētu, pārbaudītu un pielāgotu System Monitor konfigurāciju:
Instalēt: Sysmon.exe -i [-h [sha1 | md5 | sha256]] [-n]
Konfigurēt: Sysmon.exe -c [[-h [sha1 | md5 | sha256]] [-n] | -]
Atinstalēt: Sysmon.exe -u
Lietotājam ir jāsaprot dažas komandas:
-es: instalēt servisa un draiveru programmas
-n: saglabā tīkla savienojuma žurnālus
-u: atinstalējiet pakalpojumu un draiveru programmas
-c: tas atjaunina datorā instalēto sysmon draiveri vai palīdz atcelt pašreizējos pieejamos konfigurācijas iestatījumus
-h: Tas norāda algoritmu, kas piemērots programmai [pēc noklusējuma tiek izmantots SHA1]
Piemēri:
- Lai instalētu lietojumprogrammu ar noklusējuma iestatījumiem: “sysmon -i accepteula” bez pēdiņām [SHA1 noklusējums]
- Lai instalētu lietojumprogrammu ar MD5 [SHA256] iestatījumiem: “sysmon -i accepteula -h md5 -n”
- Lai atinstalētu “sysmon -u”
Sistēmas monitors notikumus, piemēram, notikumu ID, saglabā kā,
- 1. notikuma ID: Izmanto procesa izveidošanai,
- 2. notikuma ID: Process mainīja faila izveides laiku ar laika zīmogu un
- 3. notikuma ID: Tīkla savienojumam.
Rīks turpinās darboties fonā un ierakstīs visus notikumu žurnālus mapē. Pēc instalēšanas vai atinstalēšanas nav nepieciešama sistēmas atsāknēšana.
Tas ir obligāts rīks visiem datoriem, kas darbojas sistēmā Windows. Iet paķert System Monitor rīku no šeit!
ATJAUNINĀT: Windows Sysinternals Sysmon tagad arī reģistrē procesa aktivitātes Windows notikumu žurnālā, lai izmantotu incidentu noteikšanai un tiesu ekspertīzei, ietver draivera ielādes un attēlu ielādes notikumus ar paraksta informāciju, konfigurējamus jaukšanas algoritmu ziņojumus, elastīgus filtrus notikumu iekļaušanai un izslēgšanai un atbalstu piegādājot konfigurāciju, izmantojot komandrindas vietā konfigurācijas failu. Tas arī atklāj ļaunprātīgas programmatūras manipulācijas noteikšanu.