Системный монитор Sysinternals Sysmon для Windows

Microsoft предлагает множество полезных инструментов для конечных пользователей, которые можно использовать для настройки, воспроизведения, устранения неполадок, диагностики, защиты или других действий с операционной системой Windows . Sysinternals System Monitor (Sysmon) — это недавно выпущенный инструмент, предназначенный для компьютеров под управлением Windows(Windows) , который собирает все файлы системного журнала. Эти файлы журналов очень важны и важны для понимания проблем, связанных с Windows . Однажды установленный Sysmon(Sysmon) продолжает работать в фоновом режиме как бездействующий и при необходимости может быть возвращен к жизни.

Системный монитор Sysmon для Windows

Основной рабочий процесс, лежащий в основе системного монитора(System Monitor) , заключается в том, что он хранит информацию из агентов коллекции событий Windows(Windows Event Collection) ( средство просмотра событий(Event Viewer) ) и агентов управления информацией(Security Information) и событиями(Event Management) безопасности ( SIEM ), таких как идентификаторы процессов , идентификаторы (IDs)GUID(GUIDs) , SHA1 , MD5 ( SHA256 ) хэш-журналы. Он хранит все эти файлы в рабочей папке Applications and Services\logs\Microsoft\Windows\Sysmon\operational в Windows 10/8/7/Vista и в журнале системных событий( System event log)  в более старых операционных(Windows) системах Windows, таких как Windows XP..

Системный монитор Sysmon для Windows

Как установить системный монитор
(How to install System Monitor)

  • Скачать Sysmon [(Download Sysmon [) ссылка для скачивания указана ниже]
  • Загруженный файл будет в формате zip. Разархивируйте файл с помощью экстрактора файлов Windows по умолчанию или попробуйте Winrar , 7zip и т. Д.
  • Как только файл будет разархивирован, запустите «Sysmon» , примите лицензионное соглашение и нажмите «Далее».
  • Подождите(Wait) , пока System , Monitor завершит установку, вот и все!

Как использовать Сисмон(How to use Sysmon)

Командную строку в sysmon можно использовать для установки, удаления, проверки и настройки конфигурации системного монитора:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]
Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]
Uninstall:  Sysmon.exe –u

Несколько команд, которые пользователь должен понимать:(Few commands that user need to understand are:)

i: установить службы и программы-драйверы

-n : сохраняет журналы сетевых подключений

-u : удалить службы и программы-драйверы

-c : обновляет установленный на компьютере драйвер sysmon или помогает получить дамп текущих доступных параметров конфигурации.

-h : указывает алгоритм, применяемый к программе [по умолчанию применяется SHA1 ]

Примеры:(Examples:)

  • Чтобы установить приложение с настройками по умолчанию: « sysmon -i accepteula » без кавычек [SHA1 по умолчанию]
  • Чтобы установить приложение с настройками MD5 [SHA256]: « sysmon -i accepteula –h md5 -n »  
  • Чтобы удалить « sysmon -u »

Системный монитор(System Monitor) хранит такие события, как идентификаторы событий(Event IDs) , как,

  • Идентификатор события 1(Event ID 1) : используется для создания процесса,
  • Идентификатор события 2(Event ID 2) : процесс(Process) изменил время создания файла с отметкой времени и
  • Идентификатор события 3(Event ID 3) : для сетевого подключения.

Инструмент будет продолжать работать в фоновом режиме и будет записывать все журналы событий в папку. После установки или удаления перезагрузка системы не требуется.

Это обязательный инструмент для всех компьютеров, работающих под управлением Windows . Возьмите инструмент системного монитора (System Monitor)here!

ОБНОВЛЕНИЕ(UPDATE) : Windows Sysinternals Sysmon теперь также записывает активность процессов в журнал событий Windows для использования при обнаружении инцидентов и криминалистическом анализе, включает события загрузки драйверов и загрузки образов с информацией о подписи, настраиваемые отчеты по алгоритму хэширования, гибкие фильтры для включения и исключения событий и поддержку для предоставления конфигурации через файл конфигурации вместо командной строки. Он также получает обнаружение подделки вредоносного процесса .



About the author

Я разработчик бесплатного программного обеспечения и сторонник Windows Vista/7. Я написал несколько сотен статей на различные темы, связанные с операционной системой, включая советы и рекомендации, руководства по ремонту и рекомендации. Я также предлагаю консультационные услуги, связанные с офисом, через мою компанию Help Desk Services. Я хорошо понимаю, как работает Office 365, его функции и способы их наиболее эффективного использования.



Related posts