Phenquestions
„Microsoft“ siūlo daugybę naudingų įrankių galutiniams vartotojams, kuriuos galima naudoti norint pakoreguoti, paleisti, pašalinti triktis, diagnozuoti, apsaugoti ar padaryti bet ką naudojant „Windows“ operacinę sistemą. Sysinternals Sistemos monitorius („Sysmon“), yra vienas iš tokių naujai išleistų įrankių, sukurtų „Windows“ kompiuteriams, kurie renka visus sistemos žurnalo failus. Šie žurnalo failai yra labai svarbūs ir labai svarbūs norint suprasti su „Windows“ susijusias problemas. Įdiegus „Sysmon“, fone jis veikia kaip neveikiantis ir prireikus gali būti atgaivintas.
„Sysmon“ sistemos monitorius, skirtas „Windows“
Pagrindinė „System Monitor“ darbo eiga yra ta, kad joje saugoma informacija iš „Windows“ įvykių kolekcijos (įvykių peržiūros priemonės) ir saugos informacijos ir įvykių valdymo (SIEM) agentų, tokių kaip proceso ID, GUID, SHA1, MD5 (SHA256) maišos žurnalai. Visi šie failai saugomi Programos ir paslaugos \ žurnalai \ Microsoft \ Windows \ Sysmon \ veikia aplanką „Windows 10/8/7 / Vista“ ir naujesnėse versijose Sistemos įvykių žurnalas senesnėse „Windows“ operacinėse sistemose, tokiose kaip „Windows XP“.
Kaip įdiegti sistemos monitorių
- Atsisiųsti „Sysmon“ [atsisiuntimo nuoroda pateikta žemiau]
- Atsisiųstas failas bus ZIP formatu. Išpakuokite failą naudodami numatytąjį „Windows“ failų ištraukėją arba išbandykite „Winrar“, „7zip“ ir kt.
- Kai failas bus išpakuotas, paleiskite „Sysmon“ priimti EULA ir paspausti Next.
- Palaukite, kol sistema, monitorius baigs diegti, viskas!
Kaip naudoti Sysmon
„Sysmon“ komandų eilutė gali būti naudojama diegiant, pašalinant, tikrinant ir koreguojant „System Monitor“ konfigūraciją:
Įdiekite: „Sysmon“.exe -i [-h [sha1 | md5 | sha256]] [-n]
Konfigūruoti: Sysmon.exe -c [[-h [sha1 | md5 | sha256]] [-n] | -]
Pašalinti: „Sysmon“.exe -u
Nedaug komandų, kurias vartotojas turi suprasti:
-aš: įdiegti paslaugų ir tvarkyklių programas
-n: saugo tinklo ryšio žurnalus
-u: pašalinkite paslaugų ir tvarkyklių programas
-c: jis atnaujina įdiegtą „sysmon“ tvarkyklę kompiuteryje arba padeda panaikinti esamus konfigūracijos nustatymus
-h: Nurodo programai taikomą algoritmą [pagal nutylėjimą taikomas SHA1]
Pavyzdžiai:
- Norėdami įdiegti programą su numatytaisiais nustatymais: „sysmon -i accepteula“ be kabučių [SHA1 default]
- Norėdami įdiegti programą su MD5 [SHA256] nustatymais: „sysmon -i accepteula -h md5 -n“
- Norėdami pašalinti „sysmon -u“
„System Monitor“ saugo tokius įvykius kaip įvykių ID kaip,
- 1 įvykio ID: Naudojamas kuriant procesą,
- 2 įvykio ID: Procesas pakeitė failo kūrimo laiką su laiko žyme ir
- 3 įvykio ID: Tinklo ryšiui.
Įrankis toliau veiks fone ir visus įvykių žurnalus įrašys į aplanką. Įdiegus ar pašalinus, nebūtina paleisti sistemos iš naujo.
Tai yra būtinas įrankis visiems kompiuteriams, kuriuose veikia „Windows“. Patraukite iš „System Monitor“ įrankio iš čia!
ATNAUJINTI: „Windows Sysinternals Sysmon“ taip pat dabar įrašo proceso veiklą į „Windows“ įvykių žurnalą, kad būtų galima nustatyti įvykius ir atliekant teismo ekspertizę, apima tvarkyklės apkrovos ir vaizdo įkėlimo įvykius su parašo informacija, konfigūruojamus maišos algoritmų pranešimus, lanksčius filtrus įvykiams įtraukti ir neįtraukti bei palaikymą teikia konfigūraciją per konfigūracijos failą, o ne komandinę eilutę. Taip pat aptinkamas kenkėjiškų programų pažeidimas.
