Microsoft pakub arvukalt kasulikku vahendit lõppkasutajatele, mida saab Windowsi operatsioonisüsteemiga varjamiseks, mängimiseks, tõrkeotsinguks, diagnoosimiseks, turvaliseks või midagi teha. Sysinternals Süsteemi monitor (Sysmon), on üks selline äsja väljastatud tööriist, mis on mõeldud Windowsi põhise arvuti jaoks ja mis kogub kõik süsteemi logifailid. Need logifailid on väga olulised ja olulised, et mõista Windowsiga seotud probleeme. Sysmon, kui see on paigaldatud, taustal töötab ja jääb tööle, kui see on vajalik.
Sysmoni süsteemidemonitor Windowsile
Süsteemimonitori peamine töövoog on selles, et see salvestab teavet Windowsi sündmuste kogu (Event Viewer) ja turbe- teabe ja sündmuste haldamise (SIEM) agentide, näiteks protsesside ID-de, GUID-ide, SHA1, MD5 (SHA256) hash-logide kohta. See salvestab kõik need failid alla Rakendused ja teenused logs Microsoft Windows Sysmon operational kausta Windows Vista ja kõrgemates operatsioonisüsteemides, nagu Windows 8 ja Windows 7 ning all Süsteemi sündmuste logi vanemates Windowsi operatsioonisüsteemides nagu Windows XP.
- Laadige alla Sysmon [allalaadimise link]
- Laaditud fail on ZIP-vormingus. Laadige fail lahti, kasutades Windowsi vaikimisi failiekstraktorit või proovige Winrar, 7zip jne
- Kui fail on lahtipakitud, käivitage " Sysmon" nõustuge EULA ja lööge järgmine.
- Oodake süsteemi, installimise lõpuleviimiseks jälgige, see on kõik!
Kuidas kasutada Sysmonit
Sysmoni käsureale saab süsteemi monitori konfiguratsiooni installida, desinstallida, kontrollida ja häälestada:
Paigalda: Sysmon.exe -i [-h [sha1 | md5 | sha256] [-n]
Konfigureerige: Sysmon.exe -c[-n] | -]
Desinstalli: Sysmon.exe -u
Vähesed käsud, mida kasutaja vajab, on järgmised:
– i: installige teenindus- ja draiveriprogrammid
- n: varustab võrguühenduslogi
- u: desinstallige teenindus- ja draiveriprogrammid
- c: see värskendab arvutisse installitud sysmoni draiverit või aitab olemasolevaid konfiguratsiooniseadeid maha laadida
- h: See määrab programmis rakendatud algoritmi [vaikimisi SHA1 rakendatakse]
Näited:
- Rakenduse installimine vaikeseadetega: “sysmon-i acceptteula” ilma hinnapakkumisteta [SHA1 vaikimisi]
- Rakenduse installimine MD5 [SHA256] seadistustega: “sysmon-i acceptteula-h md5 -n”
- Desinstallimine “sysmon -u”
Süsteemimonitor salvestab selliseid sündmusi nagu sündmuste ID-d,
- Sündmuse ID 1: Kasutatakse protsessi loomiseks,
- Sündmuse ID 2: Protsess muutis failide loomise aja ajatempel ja
- Sündmuse ID 3: Võrguühenduse jaoks.
Tööriist jätkab taustal töötamist ja kirjutab kõik sündmuste logid kausta. Pärast süsteemi taaskäivitamist installimist või desinstallimist pole vaja kõik.
See peab olema tööriist kõigile Windowsis töötavatele arvutitele. Mine graafika süsteemi monitori tööriistaga siin!
UPDATE: Microsoft Sysinternals Sysmon registreerib ka Windowsi sündmuste logi protsessi aktiivsuse, mida kasutatakse intsidentide tuvastamiseks ja kohtuekspertiisi analüüsi jaoks, sisaldab draiveri koormust ja pildi laadimise sündmusi koos allkirjaandmetega, konfigureeritavat räsimisalgoritmide aruandlust, paindlikke filtreid sündmuste lisamiseks ja välistamiseks ning konfiguratsioonifaili edastamine käsurea asemel.
