Spoločnosť Microsoft ponúka nepreberné množstvo užitočných nástrojov pre koncových používateľov, pomocou ktorých je možné v operačnom systéme Windows vylepšovať, hrať, odstraňovať problémy, diagnostikovať, zabezpečovať alebo robiť čokoľvek. Sysinternals Monitor systému (Sysmon), je jeden taký novo vydaný nástroj určený pre počítač so systémom Windows, ktorý zhromažďuje všetky systémové súbory denníka. Tieto súbory denníka sú veľmi dôležité a zásadné pre pochopenie problémov týkajúcich sa systému Windows. Po nainštalovaní programu Sysmon beží na pozadí ako nečinný a v prípade potreby ho možno oživiť.
Monitor systému Sysmon pre Windows
Základným pracovným tokom za sledovaním systému je to, že ukladá informácie z agentov Windows Event Collection (prehliadač udalostí) a agentov zabezpečenia a správy udalostí (SIEM), ako sú ID procesov, GUID, hash protokoly SHA1, MD5 (SHA256). Ukladá všetky tieto súbory pod Aplikácie a služby \ logy \ Microsoft \ Windows \ Sysmon \ operating priečinok vo Windows 10/8/7 / Vista a pod Denník systémových udalostí v starších operačných systémoch Windows ako Windows XP.
Ako nainštalovať System Monitor
- Stiahnite si Sysmon [odkaz na stiahnutie je uvedený nižšie]
- Stiahnutý súbor bude vo formáte zip. Rozbaľte súbor pomocou predvoleného extraktora súborov v systéme Windows alebo vyskúšajte Winrar, 7zip atď.
- Akonáhle je súbor rozbalený, spustite ho „Sysmon“ prijmite EULA a stlačte Ďalej.
- Počkajte, kým systém, monitor dokončí inštaláciu, to je všetko!
Ako používať Sysmon
Príkazový riadok v sysmon možno použiť na inštaláciu, odinštalovanie, kontrolu a vylepšenie konfigurácie Monitoru systému:
Inštalácia: Sysmon.exe -i [-h [sha1 | md5 | sha256]] [-n]
Konfigurácia: Sysmon.exe -c [[-h [sha1 | md5 | sha256]] [-n] | -]
Odinštalovanie: Sysmon.exe -u
Niekoľko príkazov, ktorým musí používateľ porozumieť, sú:
-i: nainštalovať servisné programy a ovládače
-n: ukladá protokoly sieťového pripojenia
-u: odinštalovanie služieb a programov ovládačov
-c: aktualizuje nainštalovaný ovládač sysmon v počítači alebo pomáha vypísať aktuálne dostupné konfiguračné nastavenia
-h: Určuje algoritmus použitý na program [štandardne sa používa SHA1]
Príklady:
- Inštalácia aplikácie s predvoleným nastavením: „sysmon -i acceptteula“ bez úvodzoviek [predvolené SHA1]
- Inštalácia aplikácie s nastaveniami MD5 [SHA256]: „sysmon -i acceptteula -h md5 -n“
- Odinštalovať „sysmon -u“
System Monitor ukladá udalosti ako ID udalostí ako,
- Identifikátor udalosti 1: Používa sa na vytváranie procesov,
- ID udalosti 2: Proces zmenil čas vytvorenia súboru s časovou pečiatkou a
- ID udalosti 3: Pre sieťové pripojenie.
Nástroj bude naďalej bežať na pozadí a bude zapisovať všetky protokoly udalostí do priečinka. Po inštalácii alebo odinštalovaní nie je všetko potrebné reštartovať.
Je to nevyhnutný nástroj pre všetky počítače spustené v systéme Windows. Choďte chytiť nástroj Monitorovanie systému z tu!
AKTUALIZÁCIA: Windows Sysinternals Sysmon teraz tiež zaznamenáva aktivitu procesu do protokolu udalostí systému Windows na použitie pri detekcii incidentov a forenznej analýze, obsahuje udalosti načítania ovládača a načítania obrázkov s podpisovými informáciami, konfigurovateľné hlásenie algoritmu hashovania, flexibilné filtre na zahrnutie a vylúčenie udalostí a podporu pre dodáva konfiguráciu prostredníctvom konfiguračného súboru namiesto príkazového riadku. Získava tiež detekciu neoprávnenej manipulácie s malvérom.