Microsoft oferuje mnóstwo przydatnych narzędzi dla użytkowników końcowych, których można używać do ulepszania, odtwarzania, rozwiązywania problemów, diagnozowania, zabezpieczania lub robienia czegokolwiek z systemem operacyjnym Windows . Sysinternals System Monitor (Sysmon) to jedno z takich nowo wydanych narzędzi przeznaczonych dla komputerów z systemem Windows^(Windows) , które zbiera wszystkie pliki dzienników systemowych. Te pliki dziennika są bardzo ważne i kluczowe dla zrozumienia problemów związanych z systemem Windows^(Windows) . Po zainstalowaniu Sysmon^(Sysmon) działa w tle jako uśpiony i może zostać przywrócony do życia w razie potrzeby.

Monitor systemu Sysmon dla Windows

Podstawowy przepływ pracy związany z Monitorem systemu^{(System Monitor)} polega na tym, że przechowuje informacje z agentów zbierania zdarzeń systemu Windows^{(Windows Event Collection)} ( Podgląd zdarzeń^{(Event Viewer)} ) i agentów informacji o zabezpieczeniach^{(Security Information)} i zarządzania zdarzeniami^{(Event Management)} ( SIEM ), takich jak ^(SIEM)identyfikatory^(IDs) procesów , identyfikatory GUID^(GUIDs) , dzienniki skrótów SHA1 , MD5 ( SHA256 ). Przechowuje wszystkie te pliki w folderze Applications and Services\logs\Microsoft\Windows\Sysmon\operational w Windows 10/8/7/Vista oraz w dzienniku zdarzeń systemowych^{( System event log)}  w starszych systemach^(Windows) operacyjnych Windows, takich jak Windows XP.

Jak zainstalować Monitor systemu
^{(How to install System Monitor)}

• Pobierz Sysmon [^{(Download Sysmon [)} link do pobrania podany poniżej]
• Pobrany plik będzie w formacie zip. Rozpakuj plik za pomocą domyślnego ekstraktora plików systemu Windows lub wypróbuj Winrar , 7zip itp.
• Po rozpakowaniu pliku uruchom „Sysmon” , zaakceptuj umowę EULA i naciśnij Dalej.
• Poczekaj^(Wait) , aż System , Monitor zakończy instalację, to wszystko!

Jak korzystać z Sysmon^{(How to use Sysmon)}

Wiersz poleceń w sysmon może być używany do instalowania, odinstalowywania, sprawdzania i dostrajania konfiguracji Monitora systemu:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Kilka poleceń, które użytkownik musi zrozumieć, to:^{(Few commands that user need to understand are:)}

– i: zainstaluj programy serwisowe i sterowniki

-n : przechowuje dzienniki połączeń sieciowych

-u : odinstaluj programy serwisowe i sterowniki

-c : aktualizuje zainstalowany sterownik sysmon na komputerze lub pomaga zrzucić bieżące dostępne ustawienia konfiguracyjne

-h : Określa algorytm zastosowany do programu [domyślnie stosowany jest SHA1 ]

Przykłady:^(Examples:)

• Aby zainstalować aplikację z ustawieniami domyślnymi: „ sysmon -i accepteula ” bez cudzysłowów [domyślnie SHA1]
• Aby zainstalować aplikację z ustawieniami MD5 [SHA256]: „ sysmon -i accepteula –h md5 -n ”  
• Aby odinstalować „ sysmon -u ”

Monitor systemu^{(System Monitor)} przechowuje zdarzenia, takie jak identyfikatory zdarzeń^{(Event IDs)} , jako,

• Identyfikator zdarzenia 1^{(Event ID 1)} : używany do tworzenia procesu,
• Identyfikator zdarzenia 2^{(Event ID 2)} : Proces^(Process) zmienił czas utworzenia pliku z sygnaturą czasową i
• Identyfikator zdarzenia 3^{(Event ID 3)} : dla połączenia sieciowego.

Narzędzie będzie nadal działać w tle i zapisuje wszystkie dzienniki zdarzeń w folderze. Po zainstalowaniu lub odinstalowaniu ponowne uruchomienie systemu nie jest wymagane.

Jest to niezbędne narzędzie dla wszystkich komputerów z systemem Windows . Idź, pobierz narzędzie Monitor systemu ^{(System Monitor)}here!

AKTUALIZACJA^(UPDATE) : System Windows Sysinternals Sysmon rejestruje teraz również aktywność procesów w dzienniku zdarzeń systemu Windows^(Windows) do wykorzystania przez wykrywanie incydentów i analizę kryminalistyczną, obejmuje zdarzenia ładowania sterowników i ładowania obrazów z informacjami o sygnaturach, konfigurowalne raportowanie algorytmów mieszających, elastyczne filtry do uwzględniania i wykluczania zdarzeń oraz wsparcie do dostarczania konfiguracji za pomocą pliku konfiguracyjnego zamiast wiersza poleceń. Uzyskuje również wykrywanie manipulacji procesami złośliwego oprogramowania .

Sysinternals Sysmon system monitor for Windows

Microsoft offers a plethora of useful tools for end-users that сan be used to tweak, play, troubleshoot, diagnose, secure, or do anything with the Windows operating system. Sysinternals System Monitor (Sysmon), is one such newly released tool designed for Windows-based computer which collects all system log files. These log files are very important and crucial to understand issues pertaining to Windows. Sysmon once installed keeps running in the background as dormant and can be brought back to life when required.

Sysmon System Monitor for Windows

The basic workflow behind System Monitor is that it stores information from Windows Event Collection (Event Viewer) and Security Information and Event Management (SIEM) agents like process IDs, GUIDs, SHA1, MD5 (SHA256) hash logs. It stores all these files under Applications and Services\logs\Microsoft\Windows\Sysmon\operational folder in Windows 10/8/7/Vista, and under System event log in older Windows operating systems like Windows XP.

How to install System Monitor

• Download Sysmon [download link provided below]
• The downloaded file will be in zip format. Unzip the file using windows default file extractor or try Winrar, 7zip etc.
• Once the file is unzipped, run “Sysmon” accept the EULA and hit Next.
• Wait for System, Monitor to complete installation, that’s all!

How to use Sysmon

The command line in sysmon can be used to install, uninstall, check and to tweak System Monitor’s configuration:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Few commands that user need to understand are:

–i: install service and driver programs

-n: stores network connection logs

-u: uninstall service and driver programs

-c: it updates the installed sysmon driver on the computer or helps to dump current configuration  settings available

-h: It specifies the algorithm applied to the program [by default SHA1 is applied]

Examples:

• To install the application with default settings: “sysmon -i accepteula” without quotes [SHA1 default]
• To install the application with MD5 [SHA256] settings: “sysmon -i accepteula –h md5 -n”  
• To uninstall “sysmon -u”

System Monitor stores events like Event IDs as,

• Event ID 1: Used for Process Creation,
• Event ID 2: A Process changed a file creation time with timestamp and
• Event ID 3: For Network Connection.

The tool will keep running in the background and will write all event logs into a folder. After install or uninstall a system reboot is not all required.

It is a must-have tool for all computers running on Windows. Go grab the System Monitor tool from here!

UPDATE: Windows Sysinternals Sysmon now also records process activity to the Windows event log for use by incident detection and forensic analysis, includes driver load and image load events with signature information, configurable hashing algorithm reporting, flexible filters for including and excluding events, and support for supplying configuration via a configuration file instead of the command line. It also gets malware process tampering detection.

Related posts

• Limity pamięci fizycznej w plikach Crash Dump dla Windows 10

• Jak korzystać z narzędzia SysInternals Process Explorer dla systemu Windows 10?

• Process Manager pozwala mierzyć czasy ponownego uruchamiania komputera i nie tylko

• RAMMap to narzędzie do analizy wykorzystania pamięci firmy Sysinternals

• Udostępniaj pliki każdemu dzięki funkcji Wyślij w dowolnym miejscu na komputer z systemem Windows

• VirtualDJ to darmowe wirtualne oprogramowanie DJ na komputery z systemem Windows

• Jak korzystać z narzędzia Network Sniffer Tool PktMon.exe w systemie Windows 10?

• Darmowe oprogramowanie anty-ransomware dla komputerów z systemem Windows

• Najlepsze darmowe oprogramowanie harmonogramu dla Windows 11/10

• Jak zainstalować NumPy za pomocą PIP w systemie Windows 10?

• Co to jest pakiet aktywacyjny w systemie Windows 10?

• Jak wyświetlić panel Szczegóły w Eksploratorze plików w systemie Windows 11/10?

• Najlepsze bezpłatne aplikacje do podcastów na komputer z systemem Windows

• Jak zmierzyć czas reakcji w systemie Windows 11/10?

• Napraw błąd Windows Update 0x80070422 w systemie Windows 10

• Włącz połączenia sieciowe w nowoczesnym trybie gotowości w systemie Windows 11/10

• System Windows nie mógł znaleźć wymaganego pliku instalacyjnego boot.wim

• Ustawienia synchronizacji nie działają lub są wyszarzone w systemie Windows 11/10

• Jak naprawić problem kolizji podpisów dysku w systemie Windows 11/10?

• Jak wyłączyć zabezpieczenia dla aktualizacji funkcji w systemie Windows 10?