Společnost Microsoft nabízí nepřeberné množství užitečných nástrojů pro koncové uživatele, které lze použít k vyladění, přehrávání, odstraňování problémů, diagnostice, zabezpečení nebo k čemukoli s operačním systémem Windows. Sysinternals Monitor systému (Sysmon), je jeden takový nově vydaný nástroj určený pro počítač se systémem Windows, který shromažďuje všechny soubory systémových protokolů. Tyto soubory protokolu jsou velmi důležité a zásadní pro pochopení problémů týkajících se systému Windows. Jakmile je Sysmon nainstalován, běží na pozadí jako spící a v případě potřeby jej lze přivést zpět k životu.
Monitor systému Sysmon pro Windows
Základní pracovní postup za nástrojem System Monitor spočívá v tom, že ukládá informace z agentů Windows Event Collection (Prohlížeč událostí) a Security Information and Event Management (SIEM), jako jsou ID procesů, GUID, SHA1, MD5 (SHA256) hash logy. Ukládá všechny tyto soubory pod Aplikace a služby \ logy \ Microsoft \ Windows \ Sysmon \ operating ve Windows 10/8/7 / Vista a pod Protokol událostí systému ve starších operačních systémech Windows, jako je Windows XP.
Jak nainstalovat System Monitor
- Stáhněte si Sysmon [odkaz ke stažení níže]
- Stažený soubor bude ve formátu zip. Rozbalte soubor pomocí výchozího extraktoru souborů systému Windows nebo vyzkoušejte Winrar, 7zip atd.
- Po rozbalení souboru spusťte "Sysmon" přijměte EULA a stiskněte Další.
- Počkejte, až instalace dokončí systém, monitor, to je vše!
Jak se přípravek Sysmon používá
Příkazový řádek v sysmonu lze použít k instalaci, odinstalaci, kontrole a vylepšení konfigurace Monitoru systému:
Instalace: Sysmon.exe -i [-h [sha1 | md5 | sha256]] [-n]
Konfigurovat: Sysmon.exe -c [[-h [sha1 | md5 | sha256]] [-n] | -]
Odinstalovat: Sysmon.exe -u
Několik příkazů, kterým musí uživatel porozumět, je:
-i: nainstalujte programy služeb a ovladačů
-n: ukládá protokoly síťového připojení
-u: odinstalovat servisní a ovladače
-C: aktualizuje nainstalovaný ovladač sysmon v počítači nebo pomáhá vypsat aktuální dostupné nastavení konfigurace
-h: Určuje algoritmus aplikovaný na program [ve výchozím nastavení je použit SHA1]
Příklady:
- Instalace aplikace s výchozím nastavením: "sysmon -i akceptovat“ bez uvozovek [výchozí SHA1]
- Instalace aplikace s nastavením MD5 [SHA256]: "sysmon -i acceptteula -h md5 -n“
- Odinstalovat "sysmon -u“
System Monitor ukládá události jako ID událostí jako,
- ID události 1: Používá se pro vytváření procesů,
- ID události 2: Proces změnil čas vytvoření souboru s časovým razítkem a
- ID události 3: Pro připojení k síti.
Nástroj bude nadále fungovat na pozadí a zapíše všechny protokoly událostí do složky. Po instalaci nebo odinstalaci není vše nutné restartovat.
Je to nezbytný nástroj pro všechny počítače se systémem Windows. Uchopte nástroj Sledování systému z tady!
AKTUALIZACE: Windows Sysinternals Sysmon nyní také zaznamenává aktivitu procesu do protokolu událostí Windows pro použití při detekci incidentů a forenzní analýze, zahrnuje události načtení ovladače a načtení obrazu s podpisovými informacemi, konfigurovatelné hlášení algoritmu hashování, flexibilní filtry pro zahrnutí a vyloučení událostí a podporu pro dodávat konfiguraci pomocí konfiguračního souboru namísto příkazového řádku. Získá také detekci neoprávněné manipulace s malwarovým procesem.