Microsoft tarjoaa runsaasti käyttökelpoista työkalua loppukäyttäjille, joita voidaan käyttää Windowsin käyttöjärjestelmän virittämiseen, toistamiseen, vianmääritykseen, diagnosointiin, turvallisuuteen tai tekemiseen. Sysinternals System Monitor (Sysmon), on yksi tällainen äskettäin julkaistu työkalu suunniteltu Windows-pohjainen tietokone, joka kerää kaikki järjestelmän lokitiedostot. Nämä lokitiedostot ovat erittäin tärkeitä ja tärkeitä ymmärtää Windows-aiheita. Sysmon asennettuna asennetaan taustalla lepotilassa, ja se voidaan palauttaa elämään tarvittaessa.
Sysmon System Monitor for Windows
Järjestelmänvalvojan perusmuoto on, että se tallentaa tietoa tapahtumien keräämisestä (Event Viewer) sekä tietoturva- ja tapahtumien hallintatoimista (SIEM), kuten prosessin tunnuksista, GUID-osoitteista, SHA1-, MD5- (SHA256) hash-lokeista. Se tallentaa kaikki nämä tiedostot alla Sovellukset ja palvelut lokit Microsoft Windows Sysmon operatiivinen kansio Windows Vistassa ja uudemmissa käyttöjärjestelmissä, kuten Windows 8 ja Windows 7 ja alle Järjestelmän tapahtumaloki vanhemmissa Windows-käyttöjärjestelmissä, kuten Windows XP: ssä.
- Lataa Sysmon [alla oleva latauslinkki]
- Ladattu tiedosto on zip-muodossa. Pura avata tiedosto Windowsin oletustiedostojen avulla tai kokeile Winrar, 7zip jne
- Kun tiedosto on purettu, suorita ”Sysmon” hyväksy EULA ja lyö seuraavaksi.
- Odota System, Monitor suorittaa asennuksen, se on kaikki!
Miten Sysmonia käytetään
Sysmonin komentorivin avulla voidaan asentaa, poistaa, tarkistaa ja muuttaa System Monitorin kokoonpanoa:
Asenna: Sysmon.exe -i [-h [sha1 | md5 | sha256] [-n]
Määritä: Sysmon.exe -c[-n] | -]
Poista asennus: Sysmon.exe -u
Harvat komennot, jotka käyttäjän on ymmärrettävä ovat:
– I: asentaa huolto- ja ajuriohjelmat
- n: tallentaa verkkoyhteyden lokit
- u: asennuspalvelun ja ohjainohjelmien poistaminen
- C: päivittää asennetun sysmon-ohjaimen tietokoneeseen tai auttaa poistamaan käytettävissä olevat nykyiset kokoonpanoasetukset
- h: Se määrittää ohjelmaan sovelletun algoritmin [oletusarvoisesti SHA1 on käytössä]
esimerkkejä:
- Sovelluksen asentaminen oletusasetuksiin: “sysmon -i accepteula” ilman lainauksia [SHA1 default]
- Sovelluksen asentaminen MD5 [SHA256] -asetuksiin: “sysmon -i accepteula -h md5-n”
- Poista asennus “sysmon-u”
System Monitor tallentaa tapahtumia, kuten tapahtumien tunnuksia,
- Tapahtuman tunnus 1: Käytetään prosessin luomiseen,
- Tapahtuman tunnus 2: Prosessi muuttaa tiedoston luomisajan aikaleimalla ja
- Tapahtuman tunnus 3: Verkkoyhteyden muodostamiseksi.
Työkalu pysyy käynnissä taustalla ja kirjoittaa kaikki tapahtumalokit kansioon. Järjestelmän uudelleenkäynnistyksen asentamisen tai poistamisen jälkeen ei tarvita kaikkia.
Se on oltava työkalu kaikille Windows-koneille. Napsauta System Monitor -työkalun tässä!
PÄIVITTÄÄ: Microsoft Sysinternals Sysmon kirjaa myös prosessin aktiivisuuden Windows-tapahtumalokiin käytettäväksi tapahtumien havaitsemisen ja rikosteknisen analyysin avulla, sisältää kuljettajan kuormituksen ja kuvien lataushetket allekirjoitustietojen avulla, konfiguroitavissa oleva hajautusalgoritmien raportointi, joustavat suodattimet tapahtumien sisällyttämiseksi ja poistamiseen sekä tuki konfigurointi konfigurointitiedoston kautta komentorivin sijasta.
