"Microsoft" siūlo daugybę naudingų įrankių galutiniams vartotojams, kuriuos galima naudoti norint įgnybti, paleisti, šalinti triktis, diagnozuoti, saugoti ar padaryti viską su "Windows" operacine sistema. Sysinternals Sistemos monitorius (Sysmon), yra toks naujai išleistas įrankis, skirtas "Windows" kompiuteryje, kuris renka visus sistemos žurnalo failus. Šie žurnalo failai yra labai svarbūs ir labai svarbūs, siekiant suprasti su "Windows" susijusias problemas. Sysmon kartą įdiegtas veikia fone kaip neveikiantis ir gali būti grąžintas į gyvenimą, kai to reikia.
"Sysmon" sistemos monitorius "Windows"
Sistemos monitoriaus pagrindinis darbo eiga yra tai, kad ji saugo informaciją iš "Windows" įvykių rinkinio (įvykių peržiūros) ir saugumo informacijos ir įvykių valdymo (SIEM) agentų, tokių kaip proceso ID, GUID, SHA1, MD5 (SHA256) maišos žurnalai. Jis saugo visus šiuos failus po Programos ir paslaugos logs Microsoft Windows Sysmon operational aplanke "Windows Vista" ir aukštesnėse operacinėse sistemose, pvz., "Windows 8" ir "Windows 7", ir "Windows 7" Sistemos įvykių žurnalas senesnėse "Windows" operacinėse sistemose, pavyzdžiui, "Windows XP".
- Atsisiųskite "Sysmon" [parsisiuntimo nuoroda pateikta žemiau]
- Atsiųstas failas bus zip formatu. Išpakuokite failą naudodami "Windows" numatytąjį failų ištraukiklį arba pabandykite "WinRAR", 7zip ir tt
- Kai failas bus atspaustas, paleiskite " Sysmon" sutikti su EULA ir spustelėti kitą.
- Palaukite sistemos, stebėkite užbaigti diegimą, tai yra viskas!
Kaip naudotis Sysmon
Sysmon komandų eilutę galima naudoti norint įdiegti, pašalinti, patikrinti ir keisti sistemos monitoriaus konfigūraciją:
Įdiekite: Sysmon.exe -i [-h [sha1 | md5 | sha256] [-n]
Konfigūruoti: Sysmon.exe-c[-n] | -]
Pašalinti: Sysmon.exe -u
Keletas komandų, kurias naudotojas turi suprasti, yra šios:
– i: įdiegti paslaugų ir tvarkyklių programas
- n: saugo tinklo ryšio žurnalus
- u: pašalinti paslaugų ir tvarkyklių programas
- c: kompiuteris atnaujina įdiegtą "sysmon" tvarkyklę arba padeda išmesti esamus konfigūracijos parametrus
- h: Ji nurodo programai taikomą algoritmą [pagal nutylėjimą taikomas SHA1]
Pavyzdžiai:
- Norėdami įdiegti programą naudodami numatytuosius nustatymus: “sysmon-i acceptteula” be kabučių [SHA1 default]
- Norėdami įdiegti programą naudodami MD5 [SHA256] nustatymus: “sysmon -i acceptteula -h md5 -n”
- Pašalinti “sysmon -u”
Sistemos monitorius saugo įvykius, tokius kaip įvykių kodai,
- Įvykio ID 1: Naudojamas proceso kūrimui,
- Įvykio ID 2: Procesas pakeitė failo sukūrimo laiką, naudodamas laiko žymę ir
- Įvykio ID 3: Tinklo ryšiui.
Įrankis veiks toliau fone ir įrašys visus įvykių žurnalus į aplanką. Po to, kai įdiegsite arba pašalinsite sistemos perkrautą, ne viskas reikalinga.
Tai turi būti priemonė visiems "Windows" veikiantiems kompiuteriams. Eik paimkite sistemos stebėjimo įrankį iš čia!
UPDATE: "Microsoft Sysinternals" "Sysmon" taip pat įrašo proceso veiklą "Windows" įvykių žurnale, naudojamą incidentų nustatymo ir teismo ekspertizės analizei, apima vairuotojo apkrovimą ir vaizdo apkrovimo įvykius su parašo informacija, konfigūruojamą pranešimą apie maišymo algoritmą, lanksčius filtrus įvykiams įtraukti ir atmesti bei paramą konfigūravimas pateikiamas konfigūracijos failo vietoje komandinės eilutės.
