Microsoft предлага множество полезни инструменти за крайни потребители, които могат да бъдат използвани за ощипване, възпроизвеждане, отстраняване на неизправности, диагностициране, защитеност или каквото и да е работа с операционната система Windows. Sysinternals Системен монитор (Sysmon), е един такъв новоиздаден инструмент, предназначен за Windows базиран компютър, който събира всички системни регистрационни файлове. Тези регистрационни файлове са много важни и решаващи за разбирането на проблемите, свързани с Windows. Sysmon веднъж инсталиран продължава да работи във фонов режим като латентен и може да бъде върнат към живот, когато е необходимо.
Sysmon Монитор за Windows
Основният работен поток, който стои зад системния монитор, е, че той съхранява информация от системите за събиране на събития на Windows (Event Viewer) и от агенти за информация за сигурността и управление на събития (SIEM) като идентификатори на процеси, GUID, SHA1 и MD5 (SHA256). Той съхранява всички тези файлове под Приложения и услуги logs Microsoft Windows Sysmon operational папка в Windows Vista и по - високи операционни системи като Windows 8 и Windows 7 и под Системен регистър на събитията в по-стари операционни системи Windows, като Windows XP.
- Изтеглете Sysmon [връзка за изтегляне, предоставена по-долу]
- Изтегленият файл ще бъде във формат zip. Разархивирайте файла с помощта на прозореца по подразбиране за извличане на файлове или опитайте Winrar, 7zip и т.н.
- След като файлът се разкомпресира, изпълнете " SYSMON" да приемете EULA и да уцелите следващата.
- Изчакайте системата, монитора да завърши инсталацията, това е всичко!
Как да използвате Sysmon
Командният ред в sysmon може да се използва за инсталиране, деинсталиране, проверка и настройване на конфигурацията на монитора на системата:
Инсталиране: Sysmon.exe -i [-h [sha1 | md5 | sha256] [-n]
Конфигуриране: Sysmon.exe -c[-n] | -]
Деинсталиране: Sysmon.exe -u
Няколко команди, които потребителят трябва да разберат, са:
– аз: инсталирайте програми за услуги и драйвери
- н: съхранява регистрационните файлове на мрежовите връзки
- u: деинсталиране на програми за услуги и драйвери
- ° С: той актуализира инсталирания драйвер на sysmon на компютъра или помага да се изтрият наличните налични настройки за конфигурация
- h: Тя определя алгоритъма, приложен към програмата [по подразбиране се прилага SHA1]
Примери:
- За да инсталирате приложение с настройки по подразбиране: “sysmon -i acceptteula” без котировки [SHA1 по подразбиране]
- За да инсталирате приложение с настройки MD5 [SHA256]: “sysmon -i acceptteula -h md5-n”
- За да деинсталирате “sysmon -u”
Системният монитор съхранява събития като идентификационни номера на събития като,
- Идент. № на събитието 1: Използва се за създаване на процеси,
- Идент. № на събитието 2 Процесът промени времето за създаване на файл с времеви маркер и
- Идент. № на събитието 3: За мрежова връзка.
Инструментът ще продължи да работи във фонов режим и ще записва всички дневници на събития в папка. След като инсталирате или деинсталирате рестартирането на системата не е задължително.
Той трябва да има инструмент за всички компютри, работещи под Windows. Отворете инструмента за наблюдение на системата от тук!
UPDATE: Microsoft Sysinternals Sysmon сега също така записва активността на процесите в регистъра на събитията в Windows за използване при откриване на инциденти и съдебномедицински анализи, включващи натоварване на водача и събития при зареждане на изображения с информация за подпис, конфигуриране на отчитането на алгоритъма за хеширане, гъвкави филтри за включване и изключване на събития и поддръжка за като предоставя конфигурация чрез конфигурационен файл вместо командния ред.
