Systémový monitor Sysinternals Sysmon pre systém Windows

Obsah:

Systémový monitor Sysinternals Sysmon pre systém Windows
Systémový monitor Sysinternals Sysmon pre systém Windows

Video: Systémový monitor Sysinternals Sysmon pre systém Windows

Video: Systémový monitor Sysinternals Sysmon pre systém Windows
Video: UNDERSTANDING Apple's FILES App and HOW TO ORGANIZE DOCUMENTS in iCLOUD DRIVE on an iPhone and iPad! - YouTube 2024, Marec
Anonim

Spoločnosť Microsoft ponúka veľa užitočného nástroja pre koncových používateľov, ktorý môže byť použitý na vyladenie, prehrávanie, odstraňovanie, diagnostiku, zabezpečenie alebo vykonanie čokoľvek s operačným systémom Windows. Sysinternals Systémový monitor (Sysmon), je jeden takýto novo vydaný nástroj určený pre počítač so systémom Windows, ktorý zhromažďuje všetky súbory denníka systému. Tieto súbory denníka sú veľmi dôležité a kľúčové na pochopenie problémov týkajúcich sa systému Windows. Systém Sysmon, ktorý bol nainštalovaný, zostáva v pozadí bežiaci ako nečinný a môže sa vrátiť k životu v prípade potreby.

Sysmon Monitor systému Windows

Základným pracovným postupom systému sledovania systému je, že uchováva informácie z agentov zhromažďovania udalostí systému Windows (Event Viewer) a agentov pre zabezpečenie informácií a správy udalostí (SIEM), ako sú procesné ID, GUIDy, protokoly SHA1 alebo MD5 (SHA256). Ukladá všetky tieto súbory pod Aplikácie a služby logs Microsoft Windows Sysmon operational v systéme Windows Vista a vyšších operačných systémoch, ako sú Windows 8 a Windows 7 a pod Denník systémových udalostí v starších operačných systémoch Windows, ako je Windows XP.

Ako nainštalovať systémový monitor
Ako nainštalovať systémový monitor
  • Stiahnuť Sysmon [odkaz na prevzatie uvedený nižšie]
  • Stiahnutý súbor bude vo formáte ZIP. Rozbaľte súbor pomocou predvoleného extraktora súborov systému Windows alebo skúste Winrar, 7zip atď
  • Po rozbalení súboru spustite " Sysmon" prijať licenčnú zmluvu a stlačiť ďalší.
  • Počkajte na systém, Monitor na dokončenie inštalácie, to je všetko!

Ako používať Sysmon

Príkazový riadok v sysmon možno použiť na inštaláciu, odinštalovanie, kontrolu a úpravu konfigurácie Monitor systému:

Inštalácia: Sysmon.exe -i [-h [sha1 | md5 | sha256] [-n]

Nakonfigurujte: Sysmon.exe -c[-n] | -]

Odinštalovať: Sysmon.exe -u

Niekoľko príkazov, ktoré musí používateľ pochopiť, sú:

i: nainštalujte programy služby a ovládače

- n: ukladá denníky sieťového pripojenia

- u: odinštalovanie programov služieb a ovládačov

- c: aktualizuje na počítači nainštalovaný ovládač sysmon alebo pomáha vyliečiť aktuálne dostupné konfiguračné nastavenia

- h: Určuje algoritmus aplikovaný na program [štandardne sa aplikuje SHA1]

Príklady:

  • Inštalácia aplikácie s predvolenými nastaveniami: “sysmon -i acceptteula” bez úvodzoviek [SHA1 default]
  • Inštalácia aplikácie pomocou nastavení MD5 [SHA256]: “sysmon -i akceptula -h md5 -n”
  • Odinštalovanie “sysmon -u”

Systémový sledovač ukladá udalosti ako ID udalostí ako,

  • ID udalosti 1: Používa sa na vytváranie procesov,
  • ID udalosti 2: Proces zmenil čas vytvorenia súboru s časovou pečiatkou a
  • ID udalosti 3: Pre sieťové pripojenie.

Nástroj bude pokračovať na pozadí a zapíše všetky záznamy udalostí do priečinka. Po inštalácii alebo odinštalovaní nie je všetko potrebné reštartovať systém.

Je to nástroj pre všetky počítače so systémom Windows. Získajte nástroj na sledovanie systému z tu!

UPDATE: Microsoft Sysinternals Sysmon teraz tiež zaznamenáva procesnú činnosť do denníka udalostí systému Windows na použitie detekciou incidentov a forenznou analýzou, zahŕňa zaťaženie ovládača a udalosti zaťaženia obrazu s podpisovými informáciami, konfigurovateľné hlásenie algoritmu hash, flexibilné filtre pre zahrnutie a vylúčenie udalostí a podporu pre dodáva konfiguráciu prostredníctvom konfiguračného súboru namiesto príkazového riadku.

Odporúča: