Firma Microsoft oferuje mnóstwo przydatnych narzędzi dla użytkowników końcowych, których można używać do dostosowywania, odtwarzania, rozwiązywania problemów, diagnozowania, zabezpieczania lub robienia czegokolwiek z systemem operacyjnym Windows. Sysinternals Monitor systemu (Sysmon), jest jednym z takich nowo wydanych narzędzi przeznaczonych dla komputerów z systemem Windows, które zbiera wszystkie pliki dzienników systemowych. Te pliki dziennika są bardzo ważne i kluczowe dla zrozumienia problemów związanych z systemem Windows. Po zainstalowaniu Sysmon działa w tle jako uśpiony i może zostać przywrócony do życia w razie potrzeby.
Monitor systemu Sysmon dla Windows
Podstawowy przepływ pracy związany z Monitorem systemu polega na tym, że przechowuje informacje z agentów Windows Event Collection (Event Viewer) i Security Information and Event Management (SIEM), takich jak identyfikatory procesów, identyfikatory GUID, dzienniki skrótów SHA1, MD5 (SHA256). Przechowuje wszystkie te pliki pod Aplikacje i usługi\logs\Microsoft\Windows\Sysmon\operational folder w Windows 10/8/7/Vista i pod Dziennik zdarzeń systemowych w starszych systemach operacyjnych Windows, takich jak Windows XP.
Jak zainstalować Monitor systemu
- Pobierz Sysmon [link do pobrania podany poniżej]
- Pobrany plik będzie w formacie zip. Rozpakuj plik za pomocą domyślnego ekstraktora plików systemu Windows lub wypróbuj Winrar, 7zip itp.
- Po rozpakowaniu pliku uruchom „System” zaakceptuj umowę EULA i naciśnij Dalej.
- Poczekaj, aż System, Monitor zakończy instalację, to wszystko!
Jak korzystać z Sysmon
Wiersz poleceń w sysmon może być używany do instalowania, odinstalowywania, sprawdzania i dostrajania konfiguracji Monitora systemu:
Zainstaluj: Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]
Konfiguracja: Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]
Odinstaluj: Sysmon.exe -u
Kilka poleceń, które użytkownik musi zrozumieć, to:
-ja: zainstaluj programy serwisowe i sterowniki
-nie: przechowuje dzienniki połączeń sieciowych
-ty: odinstaluj programy serwisowe i sterowniki
-do: aktualizuje zainstalowany sterownik sysmon na komputerze lub pomaga zrzucić aktualne ustawienia konfiguracji (dostępne ustawienia)
-h: Określa algorytm zastosowany do programu [domyślnie stosowany jest SHA1]
Przykłady:
- Aby zainstalować aplikację z ustawieniami domyślnymi: “sysmon – akceptuję” bez cudzysłowów [domyślnie SHA1]
- Aby zainstalować aplikację z ustawieniami MD5 [SHA256]: “sysmon -i accepteula -h md5 -n”
- Aby odinstalować “sysmon -u”
Monitor systemu przechowuje zdarzenia, takie jak identyfikatory zdarzeń, jako,
- Identyfikator zdarzenia 1: Używany do tworzenia procesu,
- Identyfikator zdarzenia 2: Proces zmienił czas utworzenia pliku ze znacznikiem czasu i
- Identyfikator zdarzenia 3: Dla połączenia sieciowego.
Narzędzie będzie nadal działać w tle i zapisuje wszystkie dzienniki zdarzeń w folderze. Po zainstalowaniu lub odinstalowaniu ponowne uruchomienie systemu nie jest wymagane.
Jest to niezbędne narzędzie dla wszystkich komputerów z systemem Windows. Idź, pobierz narzędzie Monitor systemu z tutaj!
AKTUALIZACJA: Sysinternals systemu Windows Sysmon rejestruje teraz również aktywność procesów w dzienniku zdarzeń systemu Windows do wykorzystania przez wykrywanie incydentów i analizę śledczą, obejmuje zdarzenia ładowania sterowników i ładowania obrazów z informacjami o sygnaturach, konfigurowalne raportowanie algorytmów mieszających, elastyczne filtry do uwzględniania i wykluczania zdarzeń oraz obsługę dostarczanie konfiguracji za pomocą pliku konfiguracyjnego zamiast wiersza poleceń. Uzyskuje również wykrywanie manipulacji procesami złośliwego oprogramowania.