Microsoft tarjoaa lukuisia hyödyllisiä työkaluja loppukäyttäjille, joita voidaan käyttää säätämään, toistamaan, vianmääritykseen, diagnosoimaan, suojaamaan tai tekemään mitä tahansa Windows-käyttöjärjestelmällä. Sisäosat Järjestelmän valvonta (Sysmon), on yksi tällainen äskettäin julkaistu työkalu, joka on suunniteltu Windows-tietokoneille ja joka kerää kaikki järjestelmän lokitiedostot. Nämä lokitiedostot ovat erittäin tärkeitä ja ratkaisevia Windows-ongelmien ymmärtämiseksi. Asennetun Sysmonin toiminta jatkuu taustalla lepotilassa ja se voidaan herättää eloon tarvittaessa.
Sysmon System Monitor for Windows
System Monitorin perustyökalu on, että se tallentaa tietoja Windows Event Collection (Event Viewer) - ja Security Information and Event Management (SIEM) -agenteista, kuten prosessitunnukset, GUID: t, SHA1, MD5 (SHA256) hash-lokit. Se tallentaa kaikki nämä tiedostot kohtaan Applications and Services \ logs \ Microsoft \ Windows \ Sysmon \ operation kansio Windows 10/8/7 / Vistassa ja sitä uudemmissa Järjestelmän tapahtumaloki vanhemmissa Windows-käyttöjärjestelmissä, kuten Windows XP.
System Monitorin asentaminen
- Lataa Sysmon [alla oleva latauslinkki]
- Ladattu tiedosto on ZIP-muodossa. Pura tiedosto Windowsin oletustiedostonpoimijalla tai kokeile Winraria, 7zipiä jne.
- Kun tiedosto on purettu, suorita "Sysmon" hyväksy käyttöoikeussopimus ja paina Seuraava.
- Odota, että System, Monitor on suorittanut asennuksen loppuun, siinä kaikki!
Kuinka käyttää Sysmonia
Sysmonin komentorivillä voidaan asentaa, poistaa, tarkistaa ja säätää System Monitorin kokoonpanoa:
Asenna: Sysmon.exe -i [-h [sha1 | md5 | sha256]] [-n]
Määritä: Sysmon.exe -c [[-h [sha1 | md5 | sha256]] [-n] | -]
Poista: Sysmon.exe -u
Harvat käyttäjän ymmärtämät komennot ovat:
-minä: asenna palvelu- ja ohjainohjelmat
-n: tallentaa verkkoyhteyslokit
-u: poista palvelu- ja ohjainohjelmat
-c: se päivittää asennetun sysmon-ohjaimen tietokoneelle tai auttaa poistamaan käytettävissä olevat kokoonpanoasetukset
-h: Se määrittelee ohjelmaan sovellettavan algoritmin [oletuksena käytetään SHA1: ää]
Esimerkkejä:
- Sovelluksen asentaminen oletusasetuksilla: "sysmon -i accepteula” ilman lainausmerkkejä [SHA1 oletus]
- Sovelluksen asentaminen MD5 [SHA256] -asetuksilla: "sysmon -i accepteula -h md5 -n”
- Poista asennus "sysmon -u”
System Monitor tallentaa tapahtumat, kuten tapahtuman tunnukset, nimellä,
- Tapahtuman tunnus 1: Käytetään prosessin luomiseen,
- Tapahtuman tunnus 2: Prosessi muutti tiedoston luontiaikaa aikaleimalla ja
- Tapahtuman tunnus 3: Verkkoyhteydelle.
Työkalu jatkaa toimintaa taustalla ja kirjoittaa kaikki tapahtumalokit kansioon. Asennuksen tai asennuksen poistamisen jälkeen järjestelmän uudelleenkäynnistystä ei vaadita.
Se on pakollinen työkalu kaikille Windows-tietokoneille. Tartu System Monitor -työkaluun tässä!
PÄIVITTÄÄ: Windows Sysinternals Sysmon tallentaa nyt myös prosessitoiminnot Windowsin tapahtumalokiin tapahtumien havaitsemisen ja rikosteknisen analyysin avulla, sisältää ohjaimen kuormituksen ja kuvan lataustapahtumat allekirjoitustiedoilla, konfiguroitavat hajautusalgoritmiraportit, joustavat suodattimet tapahtumien sisällyttämiseen ja poissulkemiseen sekä tuki toimittaa kokoonpanoa määritystiedoston kautta komentorivin sijaan. Se havaitsee myös haittaohjelmaprosessin peukaloinnin.