A Microsoft rengeteg hasznos eszközt kínál a végfelhasználók számára, amelyek felhasználhatók a Windows operációs rendszerrel történő csípésre, lejátszásra, hibaelhárításra, diagnosztizálásra, biztonságra vagy bármi másra. Sysinternals Rendszerfigyelő (Sysmon), egy ilyen újonnan megjelent eszköz Windows-alapú számítógépekhez, amely összegyűjti az összes rendszernaplófájlt. Ezek a naplófájlok nagyon fontosak és kulcsfontosságúak a Windows problémáinak megértéséhez. Az egyszer telepített Sysmon szunnyadó állapotban fut a háttérben, és szükség esetén újra életre kelthető.
Sysmon System Monitor for Windows
A System Monitor mögött az az alapvető munkafolyamat áll, hogy a Windows Event Collection (Event Viewer) és a Security Information and Event Management (SIEM) ügynököktől származó információkat tárol, például folyamatazonosítókat, GUID-eket, SHA1, MD5 (SHA256) hash naplókat. Ezeket az állományokat a Applications and Services \ logs \ Microsoft \ Windows \ Sysmon \ operation mappát a Windows 10/8/7 / Vista és újabb verzióiban Rendszeres eseménynapló régebbi Windows operációs rendszerekben, mint a Windows XP.
A System Monitor telepítése
- Sysmon letöltése [letöltési link az alábbiakban található]
- A letöltött fájl ZIP formátumban lesz. Csomagolja ki a fájlt a Windows alapértelmezett fájlcsomagolójával, vagy próbálkozzon a Winrar, a 7zip stb.
- Miután kibontotta a fájlt, futtassa „Sysmon” fogadja el az EULA-t és nyomja meg a Next gombot.
- Várjon, amíg a System, Monitor befejezi a telepítést, ennyi!
Hogyan kell használni a Sysmon-t?
A sysmon parancssora használható a System Monitor konfigurációjának telepítésére, eltávolítására, ellenőrzésére és módosítására:
Telepítés: Sysmon.exe -i [-h [sha1 | md5 | sha256]] [-n]
Konfigurálás: Sysmon.exe -c [[-h [sha1 | md5 | sha256]] [-n] | -]
Eltávolítás: Sysmon.exe -u
Kevés olyan parancs, amelyet a felhasználónak meg kell értenie:
-én: telepítse a szerviz- és illesztőprogramokat
-n: tárolja a hálózati kapcsolat naplóit
-u: távolítsa el a szolgáltatás- és illesztőprogramokat
-c: frissíti a számítógépen telepített sysmon illesztőprogramot, vagy segít a rendelkezésre álló konfigurációs beállítások felszámolásában
-h: Megadja a programra alkalmazott algoritmust [alapértelmezés szerint az SHA1 alkalmazandó]
Példák:
- Az alkalmazás alapértelmezett beállításokkal történő telepítése: „sysmon -i accepteula” idézőjelek nélkül [SHA1 alapértelmezett]
- Az alkalmazás telepítése MD5 [SHA256] beállításokkal: „sysmon -i accepteula -h md5 -n”
- Az eltávolításhoz „sysmon -u”
A System Monitor eseményként tárolja az eseményeket, például az eseményazonosítókat,
- 1. eseményazonosító: Folyamatkészítésre használják,
- 2. eseményazonosító: Egy folyamat megváltoztatta a fájl létrehozásának idejét időbélyegzővel és
- 3. eseményazonosító: Hálózati kapcsolathoz.
Az eszköz folyamatosan fut a háttérben, és az összes eseménynaplót egy mappába írja. Telepítés vagy eltávolítás után a rendszer nem szükséges újraindítani.
Ez egy kötelező eszköz a Windows rendszeren futó összes számítógép számára. Fogja meg a Rendszerfigyelő eszközt innen itt!
FRISSÍTÉS: A Windows Sysinternals Sysmon mostantól folyamatfolyamatokat is rögzít a Windows eseménynaplóba események észlelésével és kriminalisztikai elemzéssel történő felhasználásra, tartalmazza az illesztőprogram-betöltési és képbetöltési eseményeket aláírás-információkkal, konfigurálható hash-algoritmus jelentést, rugalmas szűrőket az események beillesztésére és kizárására, valamint az események támogatását a konfiguráció szállítása a parancssor helyett egy konfigurációs fájlon keresztül. Emellett felismeri a rosszindulatú programok manipulációját is.