Sysinternals Monitor systemu Sysmon dla systemu Windows

Microsoft oferuje mnóstwo przydatnych narzędzi dla użytkowników końcowych, których można używać do ulepszania, odtwarzania, rozwiązywania problemów, diagnozowania, zabezpieczania lub robienia czegokolwiek z systemem operacyjnym Windows . Sysinternals System Monitor (Sysmon) to jedno z takich nowo wydanych narzędzi przeznaczonych dla komputerów z systemem Windows(Windows) , które zbiera wszystkie pliki dzienników systemowych. Te pliki dziennika są bardzo ważne i kluczowe dla zrozumienia problemów związanych z systemem Windows(Windows) . Po zainstalowaniu Sysmon(Sysmon) działa w tle jako uśpiony i może zostać przywrócony do życia w razie potrzeby.

Monitor systemu Sysmon dla Windows

Podstawowy przepływ pracy związany z Monitorem systemu(System Monitor) polega na tym, że przechowuje informacje z agentów zbierania zdarzeń systemu Windows(Windows Event Collection) ( Podgląd zdarzeń(Event Viewer) ) i agentów informacji o zabezpieczeniach(Security Information) i zarządzania zdarzeniami(Event Management) ( SIEM ), takich jak (SIEM)identyfikatory(IDs) procesów , identyfikatory GUID(GUIDs) , dzienniki skrótów SHA1 , MD5 ( SHA256 ). Przechowuje wszystkie te pliki w folderze Applications and Services\logs\Microsoft\Windows\Sysmon\operational w Windows 10/8/7/Vista oraz w dzienniku zdarzeń systemowych( System event log)  w starszych systemach(Windows) operacyjnych Windows, takich jak Windows XP.

Monitor systemu Sysmon dla Windows

Jak zainstalować Monitor systemu
(How to install System Monitor)

  • Pobierz Sysmon [(Download Sysmon [) link do pobrania podany poniżej]
  • Pobrany plik będzie w formacie zip. Rozpakuj plik za pomocą domyślnego ekstraktora plików systemu Windows lub wypróbuj Winrar , 7zip itp.
  • Po rozpakowaniu pliku uruchom „Sysmon” , zaakceptuj umowę EULA i naciśnij Dalej.
  • Poczekaj(Wait) , aż System , Monitor zakończy instalację, to wszystko!

Jak korzystać z Sysmon(How to use Sysmon)

Wiersz poleceń w sysmon może być używany do instalowania, odinstalowywania, sprawdzania i dostrajania konfiguracji Monitora systemu:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]
Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]
Uninstall:  Sysmon.exe –u

Kilka poleceń, które użytkownik musi zrozumieć, to:(Few commands that user need to understand are:)

i: zainstaluj programy serwisowe i sterowniki

-n : przechowuje dzienniki połączeń sieciowych

-u : odinstaluj programy serwisowe i sterowniki

-c : aktualizuje zainstalowany sterownik sysmon na komputerze lub pomaga zrzucić bieżące dostępne ustawienia konfiguracyjne

-h : Określa algorytm zastosowany do programu [domyślnie stosowany jest SHA1 ]

Przykłady:(Examples:)

  • Aby zainstalować aplikację z ustawieniami domyślnymi: sysmon -i accepteula bez cudzysłowów [domyślnie SHA1]
  • Aby zainstalować aplikację z ustawieniami MD5 [SHA256]: sysmon -i accepteula –h md5 -n ”  
  • Aby odinstalować sysmon -u

Monitor systemu(System Monitor) przechowuje zdarzenia, takie jak identyfikatory zdarzeń(Event IDs) , jako,

  • Identyfikator zdarzenia 1(Event ID 1) : używany do tworzenia procesu,
  • Identyfikator zdarzenia 2(Event ID 2) : Proces(Process) zmienił czas utworzenia pliku z sygnaturą czasową i
  • Identyfikator zdarzenia 3(Event ID 3) : dla połączenia sieciowego.

Narzędzie będzie nadal działać w tle i zapisuje wszystkie dzienniki zdarzeń w folderze. Po zainstalowaniu lub odinstalowaniu ponowne uruchomienie systemu nie jest wymagane.

Jest to niezbędne narzędzie dla wszystkich komputerów z systemem Windows . Idź, pobierz narzędzie Monitor systemu (System Monitor)here!

AKTUALIZACJA(UPDATE) : System Windows Sysinternals Sysmon rejestruje teraz również aktywność procesów w dzienniku zdarzeń systemu Windows(Windows) do wykorzystania przez wykrywanie incydentów i analizę kryminalistyczną, obejmuje zdarzenia ładowania sterowników i ładowania obrazów z informacjami o sygnaturach, konfigurowalne raportowanie algorytmów mieszających, elastyczne filtry do uwzględniania i wykluczania zdarzeń oraz wsparcie do dostarczania konfiguracji za pomocą pliku konfiguracyjnego zamiast wiersza poleceń. Uzyskuje również wykrywanie manipulacji procesami złośliwego oprogramowania .



About the author

Jestem inżynierem oprogramowania i ekspertem od Windows 10. Mam ponad dwuletnie doświadczenie w pracy ze smartfonami, Windows 10 i Microsoft Edge. Moim głównym celem jest sprawienie, aby Twoje urządzenia działały lepiej i szybciej. Pracowałem przy różnych projektach dla firm takich jak Verizon, IMac, HP, Comcast i wielu innych. Jestem również certyfikowanym instruktorem szkoleń w chmurze Microsoft Azure.



Related posts