Microsoft cung cấp rất nhiều công cụ hữu ích cho người dùng cuối có thể được sử dụng để tinh chỉnh, phát, khắc phục sự cố, chẩn đoán, bảo mật hoặc làm bất cứ điều gì với hệ điều hành Windows. Sysinternals Hệ thống giám sát (Sysmon), là một trong những công cụ mới được phát hành được thiết kế cho Windows dựa trên máy tính thu thập tất cả các tệp nhật ký hệ thống. Các tệp nhật ký này rất quan trọng và rất quan trọng để hiểu các vấn đề liên quan đến Windows. Sysmon sau khi cài đặt tiếp tục chạy ở chế độ nền dưới dạng không hoạt động và có thể được đưa trở lại cuộc sống khi được yêu cầu.
Sysmon System Monitor cho Windows
Luồng công việc cơ bản đằng sau System Monitor, là nó lưu trữ thông tin từ Windows Event Collection (Event Viewer) và các thông tin bảo mật và quản lý sự kiện (SIEM) như các process ID, GUIDs, SHA1, MD5 (SHA256) hash logs. Nó lưu trữ tất cả các tệp này trong Ứng dụng và dịch vụ logs Microsoft Windows Sysmon hoạt động thư mục trong Windows Vista và các hệ điều hành cao hơn như Windows 8 và Windows 7 và dưới Nhật ký sự kiện hệ thống trong các hệ điều hành Windows cũ hơn như Windows XP.
- Tải xuống Sysmon [liên kết tải xuống được cung cấp bên dưới]
- Tệp đã tải xuống sẽ ở định dạng zip. Giải nén tệp bằng cách sử dụng trình giải nén tệp mặc định của Windows hoặc dùng thử Winrar, 7zip, v.v.
- Khi tệp được giải nén, hãy chạy “Sysmon” chấp nhận EULA và nhấn tiếp theo.
- Đợi hệ thống, Màn hình để hoàn tất cài đặt, đó là tất cả!
Cách sử dụng Sysmon
Dòng lệnh trong sysmon có thể được sử dụng để cài đặt, gỡ cài đặt, kiểm tra và tinh chỉnh cấu hình của System Monitor:
Cài đặt: Sysmon.exe -i [-h [sha1 | md5 | sha256] [-n]
Cấu hình: Sysmon.exe -c[-n] | -]
Gỡ cài đặt: Sysmon.exe –u
Vài lệnh mà người dùng cần hiểu là:
– tôi: cài đặt chương trình dịch vụ và trình điều khiển
- n: lưu trữ nhật ký kết nối mạng
- u: gỡ cài đặt dịch vụ và chương trình trình điều khiển
- c: nó cập nhật trình điều khiển sysmon đã cài đặt trên máy tính hoặc giúp kết xuất các cài đặt cấu hình hiện tại
- h: Nó chỉ định thuật toán được áp dụng cho chương trình [theo mặc định SHA1 được áp dụng]
Ví dụ:
- Để cài đặt ứng dụng với cài đặt mặc định: “sysmon -i accepteula” không có trích dẫn [mặc định SHA1]
- Để cài đặt ứng dụng với cài đặt MD5 [SHA256]: “sysmon -i accepteula –h md5 -n”
- Để gỡ cài đặt “sysmon -u”
System Monitor lưu trữ các sự kiện như ID sự kiện dưới dạng,
- ID sự kiện 1: Được sử dụng để tạo quy trình,
- ID sự kiện 2: Quy trình đã thay đổi thời gian tạo tệp bằng dấu thời gian và
- ID sự kiện 3: Đối với kết nối mạng.
Công cụ sẽ tiếp tục chạy ở chế độ nền và sẽ ghi tất cả các bản ghi sự kiện vào một thư mục. Sau khi cài đặt hoặc gỡ cài đặt, khởi động lại hệ thống không phải là tất cả bắt buộc.
Nó là một công cụ phải có cho tất cả các máy tính chạy trên Windows. Đi lấy công cụ System Monitor từ đây!
CẬP NHẬT: Microsoft Sysinternals Sysmon giờ đây cũng ghi lại hoạt động quy trình vào nhật ký sự kiện Windows để sử dụng bằng phát hiện sự cố và phân tích pháp y, bao gồm tải trình điều khiển và sự kiện tải hình ảnh với thông tin chữ ký, báo cáo thuật toán băm có thể cấu hình, bộ lọc linh hoạt để bao gồm và loại trừ sự kiện. cung cấp cấu hình thông qua tệp cấu hình thay vì dòng lệnh.