Phenquestions
Корпорація Майкрософт пропонує безліч корисних інструментів для кінцевих користувачів, які можна використовувати для налаштування, відтворення, усунення несправностей, діагностики, захисту або будь-чого з операційною системою Windows. Сизінтерналі Системний монітор (Sysmon), - це один із таких нещодавно випущених інструментів, розроблених для комп'ютерів під управлінням Windows, який збирає всі файли системних журналів. Ці файли журналів дуже важливі та вирішальні для розуміння проблем, що стосуються Windows. Після встановлення Sysmon продовжує працювати у фоновому режимі в режимі неактивності та може бути відновлений до життя за потреби.
Sysmon System Monitor для Windows
Основний робочий процес, який стоїть за System Monitor, полягає в тому, що він зберігає інформацію з колекції подій Windows (Переглядач подій) та агентів інформації про безпеку та управління подіями (SIEM), такі як ідентифікатори процесів, GUID, SHA1, MD5 (SHA256) хеш-журнали. Він зберігає всі ці файли під Програми та служби \ журнали \ Microsoft \ Windows \ Sysmon \ операційні в Windows 10/8/7 / Vista та нижче Журнал системних подій у старих операційних системах Windows, таких як Windows XP.
Як встановити System Monitor
- Завантажити Sysmon [посилання для завантаження надано нижче]
- Завантажений файл буде у форматі zip. Розпакуйте файл за допомогою екстрактора файлів за замовчуванням у Windows або спробуйте Winrar, 7zip тощо.
- Після розпакування файлу запустіть “Sysmon” прийміть EULA та натисніть Далі.
- Зачекайте, поки система, монітор завершать установку, і все!
Як користуватися Sysmon
Командний рядок у sysmon можна використовувати для встановлення, видалення, перевірки та налаштування конфігурації System Monitor:
Встановити: Sysmon.exe -i [-h [sha1 | md5 | sha256]] [-n]
Налаштування: Sysmon.exe -c [[-h [sha1 | md5 | sha256]] [-n] | -]
Видалення: Sysmon.exe -u
Кілька команд, які користувач повинен розуміти:
-я: встановити сервісні програми та програми драйверів
-п: зберігає журнали підключення до мережі
-u: видалити сервісні програми та програми драйверів
-c: він оновлює встановлений драйвер sysmon на комп'ютері або допомагає скинути поточні доступні налаштування конфігурації
-h: Він визначає алгоритм, застосований до програми [за замовчуванням застосовується SHA1]
Приклади:
- Щоб встановити програму із налаштуваннями за замовчуванням: “sysmon -i акцептула" без лапок [SHA1 за замовчуванням]
- Щоб встановити програму з налаштуваннями MD5 [SHA256]: “sysmon -i acceptteula -h md5 -n"
- Видалити “sysmon -u"
System Monitor зберігає такі події, як ідентифікатори подій, як,
- Ідентифікатор події 1: Використовується для створення процесу,
- Ідентифікатор події 2: Процес змінив час створення файлу з позначкою часу та
- Ідентифікатор події 3: Для підключення до мережі.
Інструмент буде продовжувати працювати у фоновому режимі та записуватиме всі журнали подій у папку. Після встановлення або видалення не потрібно перезавантажувати систему.
Це обов’язковий інструмент для всіх комп’ютерів під управлінням Windows. Займіть інструмент System Monitor із тут!
ОНОВЛЕННЯ: Windows Sysinternals Sysmon тепер також записує активність процесу в журнал подій Windows для використання шляхом виявлення інцидентів та криміналістичного аналізу, включає навантаження драйвера та події завантаження зображень з інформацією про підписи, конфігурований звіт алгоритму хешування, гнучкі фільтри для включення та виключення подій та підтримку надання конфігурації через файл конфігурації замість командного рядка. Він також отримує виявлення фальсифікації шкідливих програм.
