Microsoft предлагает множество полезных инструментов для конечных пользователей, которые можно использовать для настройки, воспроизведения, устранения неполадок, диагностики, защиты или других действий с операционной системой Windows . Sysinternals System Monitor (Sysmon) — это недавно выпущенный инструмент, предназначенный для компьютеров под управлением Windows^(Windows) , который собирает все файлы системного журнала. Эти файлы журналов очень важны и важны для понимания проблем, связанных с Windows . Однажды установленный Sysmon^(Sysmon) продолжает работать в фоновом режиме как бездействующий и при необходимости может быть возвращен к жизни.

Системный монитор Sysmon для Windows

Основной рабочий процесс, лежащий в основе системного монитора^{(System Monitor)} , заключается в том, что он хранит информацию из агентов коллекции событий Windows^{(Windows Event Collection)} ( средство просмотра событий^{(Event Viewer)} ) и агентов управления информацией^{(Security Information)} и событиями^{(Event Management)} безопасности ( SIEM ), таких как идентификаторы процессов , идентификаторы ^(IDs)GUID^(GUIDs) , SHA1 , MD5 ( SHA256 ) хэш-журналы. Он хранит все эти файлы в рабочей папке Applications and Services\logs\Microsoft\Windows\Sysmon\operational в Windows 10/8/7/Vista и в журнале системных событий^{( System event log)} в более старых операционных^(Windows) системах Windows, таких как Windows XP..

Системный монитор Sysmon для Windows

Как установить системный монитор
^{(How to install System Monitor)}

Скачать Sysmon [^{(Download Sysmon [)} ссылка для скачивания указана ниже]
Загруженный файл будет в формате zip. Разархивируйте файл с помощью экстрактора файлов Windows по умолчанию или попробуйте Winrar , 7zip и т. Д.
Как только файл будет разархивирован, запустите «Sysmon» , примите лицензионное соглашение и нажмите «Далее».
Подождите^(Wait) , пока System , Monitor завершит установку, вот и все!

Как использовать Сисмон^{(How to use Sysmon)}

Командную строку в sysmon можно использовать для установки, удаления, проверки и настройки конфигурации системного монитора:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Несколько команд, которые пользователь должен понимать:^{(Few commands that user need to understand are:)}

– i: установить службы и программы-драйверы

-n : сохраняет журналы сетевых подключений

-u : удалить службы и программы-драйверы

-c : обновляет установленный на компьютере драйвер sysmon или помогает получить дамп текущих доступных параметров конфигурации.

-h : указывает алгоритм, применяемый к программе [по умолчанию применяется SHA1 ]

Примеры:^(Examples:)

Чтобы установить приложение с настройками по умолчанию: « sysmon -i accepteula » без кавычек [SHA1 по умолчанию]
Чтобы установить приложение с настройками MD5 [SHA256]: « sysmon -i accepteula –h md5 -n »
Чтобы удалить « sysmon -u »

Системный монитор^{(System Monitor)} хранит такие события, как идентификаторы событий^{(Event IDs)} , как,

Идентификатор события 1^{(Event ID 1)} : используется для создания процесса,
Идентификатор события 2^{(Event ID 2)} : процесс^(Process) изменил время создания файла с отметкой времени и
Идентификатор события 3^{(Event ID 3)} : для сетевого подключения.

Инструмент будет продолжать работать в фоновом режиме и будет записывать все журналы событий в папку. После установки или удаления перезагрузка системы не требуется.

Это обязательный инструмент для всех компьютеров, работающих под управлением Windows . Возьмите инструмент системного монитора ^{(System Monitor)}here!

ОБНОВЛЕНИЕ^(UPDATE) : Windows Sysinternals Sysmon теперь также записывает активность процессов в журнал событий Windows для использования при обнаружении инцидентов и криминалистическом анализе, включает события загрузки драйверов и загрузки образов с информацией о подписи, настраиваемые отчеты по алгоритму хэширования, гибкие фильтры для включения и исключения событий и поддержку для предоставления конфигурации через файл конфигурации вместо командной строки. Он также получает обнаружение подделки вредоносного процесса .

Sysinternals Sysmon system monitor for Windows

Microsoft offers a plethora of useful tools for end-users that can be used tо tweak, play, troubleshoot, diagnose, secure, or do anything with the Windows operating systеm. Sysinternals System Monitor (Sysmon), is one such newly released tool designed for Windows-based computer which collects all system log files. These log files are very important and crucial to understand issues pertaining to Windows. Sysmon once installed keeps running in the background as dormant and can be brought back to life when required.

Sysmon System Monitor for Windows

The basic workflow behind System Monitor is that it stores information from Windows Event Collection (Event Viewer) and Security Information and Event Management (SIEM) agents like process IDs, GUIDs, SHA1, MD5 (SHA256) hash logs. It stores all these files under Applications and Services\logs\Microsoft\Windows\Sysmon\operational folder in Windows 10/8/7/Vista, and under System event log in older Windows operating systems like Windows XP.

Sysmon System Monitor for Windows

How to install System Monitor

Download Sysmon [download link provided below]
The downloaded file will be in zip format. Unzip the file using windows default file extractor or try Winrar, 7zip etc.
Once the file is unzipped, run “Sysmon” accept the EULA and hit Next.
Wait for System, Monitor to complete installation, that’s all!

How to use Sysmon

The command line in sysmon can be used to install, uninstall, check and to tweak System Monitor’s configuration:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Few commands that user need to understand are:

–i: install service and driver programs

-n: stores network connection logs

-u: uninstall service and driver programs

-c: it updates the installed sysmon driver on the computer or helps to dump current configuration settings available

-h: It specifies the algorithm applied to the program [by default SHA1 is applied]

Examples:

To install the application with default settings: “sysmon -i accepteula” without quotes [SHA1 default]
To install the application with MD5 [SHA256] settings: “sysmon -i accepteula –h md5 -n”
To uninstall “sysmon -u”

System Monitor stores events like Event IDs as,

Event ID 1: Used for Process Creation,
Event ID 2: A Process changed a file creation time with timestamp and
Event ID 3: For Network Connection.

The tool will keep running in the background and will write all event logs into a folder. After install or uninstall a system reboot is not all required.

It is a must-have tool for all computers running on Windows. Go grab the System Monitor tool from here!

UPDATE: Windows Sysinternals Sysmon now also records process activity to the Windows event log for use by incident detection and forensic analysis, includes driver load and image load events with signature information, configurable hashing algorithm reporting, flexible filters for including and excluding events, and support for supplying configuration via a configuration file instead of the command line. It also gets malware process tampering detection.

Матвей Михайлов

About the author

Я разработчик бесплатного программного обеспечения и сторонник Windows Vista/7. Я написал несколько сотен статей на различные темы, связанные с операционной системой, включая советы и рекомендации, руководства по ремонту и рекомендации. Я также предлагаю консультационные услуги, связанные с офисом, через мою компанию Help Desk Services. Я хорошо понимаю, как работает Office 365, его функции и способы их наиболее эффективного использования.

Системный монитор Sysinternals Sysmon для Windows

Системный монитор Sysmon для Windows

Sysinternals Sysmon system monitor for Windows

Sysmon System Monitor for Windows

Матвей Михайлов

About the author

Related posts

Физический Memory Limits в файлах Crash Dump для Windows 10

Как использовать SysInternals Process Explorer tool для Windows 10

Процесс Manager позволяет вам измерить computer reboot раз и больше

RAMMap - memory usage analysis utility из системы Sysinternals

Поделиться файлами с кем-либо с Send Anywhere для Windows PC

Как изменить по умолчанию Webcam в компьютер Windows 10

Fix Windows Update error 0x80070422 на Windows 10

5 Best бесплатно Podcast Apps для Windows 10

Как открыть System Properties в Windows 10 Control Panel

Как создать резервную копию, Move, или Delete PageFile.sys на выключение в Windows 10

Как отключить съемные классы хранения и доступ в Windows 10

Microsoft Intune не синхронизирует? Force Intune, чтобы синхронизировать в Windows 11/10

Hide Toolbars option в Taskbar Context Menu в Windows 10

Как измерить Reaction Time в Windows 11/10

Windows 10 застрял на Welcome screen

Включить Network Connections пока в Modern Standby на Windows 10

Что такое PPS file? Как конвертировать PPS на PDF в Windows 11/10?

Как установить NumPy, используя PIP на Windows 10

Как включить или Disable Archive Apps feature в Windows 10

Windows не смог найти обязательную установку Boot .wim