Microsoft предлага множество полезни инструменти за крайни потребители, които могат да се използват за ощипване, възпроизвеждане, отстраняване на неизправности, диагностика, защита или каквото и да е с операционната система Windows. Сисинтернали Системен монитор (Sysmon), е един такъв новоиздаден инструмент, предназначен за компютър, базиран на Windows, който събира всички системни регистрационни файлове. Тези регистрационни файлове са много важни и решаващи за разбирането на проблемите, свързани с Windows. Веднъж инсталиран Sysmon продължава да работи във фонов режим като неактивен и може да бъде върнат към живот, когато е необходимо.
Sysmon System Monitor за Windows
Основният работен процес зад System Monitor е, че той съхранява информация от Windows Collection Collection (Event Viewer) и агенти за информация за защита и управление на събития (SIEM) като идентификатори на процеси, GUID, SHA1, MD5 (SHA256) хеш-дневници. Той съхранява всички тези файлове под Приложения и услуги \ дневници \ Microsoft \ Windows \ Sysmon \ работещи папка в Windows 10/8/7 / Vista и под Дневник на системните събития в по-стари операционни системи Windows като Windows XP.
Как да инсталирам System Monitor
- Изтеглете Sysmon [връзката за изтегляне е предоставена по-долу]
- Изтегленият файл ще бъде във формат zip. Разархивирайте файла с помощта на екстрактор на файлове по подразбиране на Windows или опитайте Winrar, 7zip и т.н.
- След като файлът се разархивира, стартирайте „Sysmon“ приемете EULA и натиснете Next.
- Изчакайте System, Monitor да завърши инсталацията, това е всичко!
Как да използвате Sysmon
Командният ред в sysmon може да се използва за инсталиране, деинсталиране, проверка и настройка на конфигурацията на System Monitor:
Инсталиране: Sysmon.exe -i [-h [sha1 | md5 | sha256]] [-n]
Конфигуриране: Sysmon.exe -c [[-h [sha1 | md5 | sha256]] [-n] | -]
Деинсталиране: Sysmon.exe -u
Няколко команди, които потребителят трябва да разбере, са:
-аз: инсталирайте услуги и програми за драйвери
-н: съхранява регистрационни файлове за мрежова връзка
-u: деинсталирайте услуги и програми за драйвери
-° С: актуализира инсталирания драйвер на sysmon на компютъра или помага за изхвърляне на текущите налични настройки за конфигурация
-з: Той определя алгоритъма, приложен към програмата [по подразбиране се прилага SHA1]
Примери:
- За да инсталирате приложението с настройки по подразбиране: „sysmon -i acceptteula” без кавички [SHA1 по подразбиране]
- За да инсталирате приложението с настройки на MD5 [SHA256]: „sysmon -i acceptteula -h md5 -n”
- За да деинсталирате „sysmon -u”
System Monitor съхранява събития като идентификатори на събития като,
- Идент. № 1: Използва се за създаване на процес,
- Идент. № 2: Един процес промени времето за създаване на файл с клеймо и
- Идент. № 3: За мрежова връзка.
Инструментът ще продължи да работи във фонов режим и ще записва всички дневници на събития в папка. След инсталиране или деинсталиране не е необходимо рестартиране на системата.
Това е задължителен инструмент за всички компютри, работещи под Windows. Вземете инструмента System Monitor от тук!
АКТУАЛИЗИРАНЕ: Windows Sysinternals Sysmon сега също записва активност на процеса в дневника на събитията на Windows за използване чрез откриване на инциденти и съдебен анализ, включва събития за зареждане на драйвери и изображения с информация за подпис, конфигурируемо отчитане на алгоритъма на хеширане, гъвкави филтри за включване и изключване на събития и поддръжка за предоставяне на конфигурация чрез конфигурационен файл вместо командния ред. Той също така получава откриване на манипулация на злонамерен софтуер.