A Microsoft számos hasznos segédeszközt kínál a végfelhasználók számára, melyeket a Windows operációs rendszer csípésén, lejátszásán, hibaelhárításán, diagnosztizálásánál, biztonságán és bárminemén végezhet el. Sysinternals Rendszermonitor (Sysmon), egy ilyen újonnan kiadott eszköz Windows alapú számítógépre tervezve, amely összegyűjti az összes rendszernapló fájlt. Ezek a naplófájlok nagyon fontosak és kulcsfontosságúak a Windows-hoz kapcsolódó problémák megértéséhez. Az egyszer telepített Sysmon folyamatosan fut a háttérben, mint nyugalmi, és szükség esetén visszakerülhet.
Sysmon System Monitor for Windows
A System Monitor mögötti alapvető munkafolyamat az, hogy információkat tárol a Windows Eseménygyűjtemény (Event Viewer) és a Biztonsági információs és eseménykezelő (SIEM) ügynökök, mint a folyamatazonosító, GUID, SHA1, MD5 (SHA256) hash naplók. Az összes fájlt tárolja Alkalmazások és szolgáltatások logs Microsoft Windows Sysmon operatív mappát Windows Vista és újabb operációs rendszerek, például a Windows 8 és a Windows 7 és a alatt Rendszer eseménynapló régi Windows operációs rendszerekben, például a Windows XP rendszerben.
- Letöltés Sysmon [az alábbi letöltési link]
- A letöltött fájl zip formátumban lesz. Csomagolja ki a fájlt a Windows alapértelmezett fájlkivonójával vagy próbálja meg a Winrar, a 7zip stb
- Miután a fájlt kibontotta, futtassa „SYSMON” fogadja el az EULA-t és nyomja meg a következőt.
- Várjon a rendszerre, a Monitor telepítse a telepítést, ez minden!
A Sysmon használata
A sysmon parancssora a System Monitor konfigurációjának telepítéséhez, eltávolításához, ellenőrzéséhez és módosításához használható:
Telepítés: Sysmon.exe -i [-h [sha1 | md5 | sha256] [-n]
Konfigurálás: Sysmon.exe -c[-n] | -]
Eltávolítás: Sysmon.exe -u
Kevés olyan parancs, amelyet a felhasználónak meg kell értenie:
– én: telepítse a szolgáltatási és illesztőprogramokat
- n: tárolja a hálózati csatlakozási naplókat
- u: távolítsa el a szolgáltatási és illesztőprogramokat
- c: frissíti a telepített sysmon illesztőprogramot a számítógépen, vagy segíti a rendelkezésre álló konfigurációs beállítások eldobását
- h: Meghatározza a programhoz alkalmazott algoritmust [alapértelmezés szerint az SHA1 alkalmazva]
Példák:
- Alkalmazás telepítése alapértelmezett beállításokkal: “sysmon -i accepteula” idézetek nélkül [SHA1 alapértelmezett]
- Alkalmazás telepítése MD5 [SHA256] beállításokkal: “sysmon -i accepteula -h md5-n”
- Eltávolítás “sysmon -u”
A System Monitor olyan eseményeket tárol, mint például az eseményazonosító,
- Eseményazonosító 1: A folyamat létrehozásához,
- Eseményazonosító 2: A folyamat megváltoztatta a fájl létrehozási idejét az időbélyeggel és
- Eseményazonosító 3: Hálózati kapcsolat esetén.
Az eszköz folyamatosan fut a háttérben, és minden eseménynaplót egy mappába ír. Telepítés vagy eltávolítás után a rendszer újraindítása nem feltétlenül szükséges.
A Windows operációs rendszert futtató valamennyi számítógépnek rendelkeznie kell. Menj a System Monitor eszközhöz itt!
UPDATE: A Microsoft Sysinternals A Sysmon most is nyilvántartja a Windows eseménynaplójának folyamataktivitását az incidensek felderítéséhez és a törvényszéki elemzéshez, magában foglalja a meghajtó betöltési és képbetöltési eseményeit aláírási információkkal, konfigurálható hasító algoritmusjelentéssel, rugalmas szűrőkkel az események bekerülésére és kizárására, és támogatja a konfigurációs konfigurációval a parancssor helyett.