Phenquestions
Microsoft nudi mnoštvo korisnih alata za krajnje korisnike koji se mogu koristiti za dotjerivanje, reprodukciju, rješavanje problema, dijagnozu, zaštitu ili bilo što s operativnim sustavom Windows. Sysinternals Nadzor sustava (Sysmon), jedan je od takvih nedavno izdanih alata dizajniranih za računala sa sustavom Windows koji prikuplja sve datoteke dnevnika sustava. Te su datoteke dnevnika vrlo važne i ključne za razumijevanje problema koji se odnose na sustav Windows. Jednom instalirani Sysmon nastavlja raditi u pozadini kao neaktivan i može se oživjeti po potrebi.
Sysmon System Monitor za Windows
Osnovni tijek rada koji stoji iza System Monitora jest taj što pohranjuje podatke iz Windows zbirke događaja (preglednik događaja) i sigurnosnih podataka i agenata za upravljanje događajima (SIEM) poput ID-ova procesa, GUID-ova, hash dnevnika SHA1, MD5 (SHA256). Sve te datoteke pohranjuje pod Aplikacije i usluge \ dnevnici \ Microsoft \ Windows \ Sysmon \ operativni mapa u sustavu Windows 10/8/7 / Vista i pod Dnevnik sistemskih događaja u starijim operativnim sustavima Windows poput Windows XP.
Kako instalirati System Monitor
- Preuzmi Sysmon [link za preuzimanje naveden u nastavku]
- Preuzeta datoteka bit će u zip formatu. Raspakirajte datoteku pomoću izvlačivača zadanih datoteka sustava Windows ili isprobajte Winrar, 7zip itd.
- Nakon što se datoteka raspakira, pokrenite "Sysmon" prihvatite EULA i pritisnite Next.
- Pričekajte da System, Monitor dovrši instalaciju, to je sve!
Kako koristiti Sysmon
Naredbeni redak u sysmonu može se koristiti za instalaciju, deinstalaciju, provjeru i podešavanje konfiguracije System Monitora:
Instaliraj: Sysmon.exe -i [-h [sha1 | md5 | sha256]] [-n]
Konfiguriraj: Sysmon.exe -c [[-h [sha1 | md5 | sha256]] [-n] | -]
Deinstalacija: Sysmon.exe -u
Nekoliko naredbi koje korisnik treba razumjeti su:
-ja: instalirati servisne programe i programe upravljačkih programa
-n: pohranjuje zapisnike mrežnih veza
-u: deinstalirajte programe usluga i upravljačkih programa
-c: ažurira instalirani sysmon upravljački program na računalu ili pomaže u izbacivanju trenutnih dostupnih postavki konfiguracije
-h: Određuje algoritam primijenjen na program [prema zadanim postavkama primjenjuje se SHA1]
Primjeri:
- Da biste instalirali aplikaciju sa zadanim postavkama: “sysmon -i acceptteula" bez navodnika [SHA1 zadano]
- Da biste instalirali aplikaciju s postavkama MD5 [SHA256]: “sysmon -i acceptteula -h md5 -n"
- Deinstalirati “sysmon -u"
System Monitor događaje poput ID-ova događaja pohranjuje kao,
- ID događaja 1: Koristi se za izradu procesa,
- ID događaja 2: Proces je promijenio vrijeme stvaranja datoteke s vremenskom oznakom i
- ID događaja 3: Za mrežnu vezu.
Alat će se nastaviti prikazivati u pozadini i zapisat će sve zapisnike događaja u mapu. Nakon instalacije ili deinstalacije nije potrebno ponovno pokretanje sustava.
To je obavezan alat za sva računala koja rade na sustavu Windows. Idite na alat System Monitor iz ovdje!
AŽURIRANJE: Windows Sysinternals Sysmon sada također bilježi procesnu aktivnost u Windowsov dnevnik događaja za upotrebu otkrivanjem nezgoda i forenzičnom analizom, uključuje događaje učitavanja upravljačkog programa i učitavanja slike s informacijama o potpisu, izvještavanje algoritma koji se može konfigurirati, fleksibilni filtri za uključivanje i isključivanje događaja i podrška za isporučivanje konfiguracije putem konfiguracijske datoteke umjesto naredbenog retka. Također dobiva otkrivanje neovlaštenih postupaka zlonamjernog softvera.
