Microsoft offre una miriade di strumenti utili per gli utenti finali che possono essere utilizzati per modificare, riprodurre, risolvere i problemi, diagnosticare, proteggere o fare qualsiasi cosa con il sistema operativo Windows. Sysinternals System Monitor (Sysmon), è uno strumento recentemente rilasciato progettato per computer basato su Windows che raccoglie tutti i file di registro del sistema. Questi file di registro sono molto importanti e cruciali per comprendere i problemi relativi a Windows. Sysmon, una volta installato, continua a funzionare in background come inattivo e può essere riportato in vita quando richiesto.
Sysmon System Monitor per Windows
Il flusso di lavoro di base dietro Monitor di sistema è che memorizza le informazioni dagli agenti di raccolta eventi di Windows (Visualizzatore eventi) e di informazioni sulla sicurezza ed eventi (SIEM) come ID di processo, GUID, SHA1, MD5 (SHA256) log hash. Memorizza tutti questi file sotto Applicazioni e servizi log Microsoft Windows Sysmon operational cartella in Windows Vista e sistemi operativi superiori come Windows 8 e Windows 7 e sotto Registro eventi di sistema nei vecchi sistemi operativi Windows come Windows XP.
- Scarica Sysmon [link di download fornito di seguito]
- Il file scaricato sarà in formato zip. Decomprimere il file utilizzando l'estrattore di file predefinito di Windows o provare Winrar, 7zip, ecc
- Una volta decompresso il file, eseguire “Sysmon” accetta l'EULA e clicca su Avanti.
- Attendi che System, Monitor completi l'installazione, tutto qui!
Come usare Sysmon
La riga di comando di sysmon può essere utilizzata per installare, disinstallare, controllare e modificare la configurazione di System Monitor:
Installa: Sysmon.exe -i [-h [sha1 | md5 | sha256] [-n]
Configura: Sysmon.exe -c[-n] | -]
Disinstallare: Sysmon.exe -u
Pochi comandi che l'utente deve capire sono:
– io: installare il servizio e i programmi del driver
- n: memorizza i log di connessione di rete
- u: disinstallare il servizio e i programmi del driver
- c: aggiorna il driver sysmon installato sul computer o aiuta a scaricare le impostazioni di configurazione correnti disponibili
- h: Specifica l'algoritmo applicato al programma [per impostazione predefinita viene applicato SHA1]
Esempi:
- Per installare l'applicazione con le impostazioni predefinite: “sysmon -i acceptteula” senza virgolette [predefinito SHA1]
- Per installare l'applicazione con le impostazioni MD5 [SHA256]: “sysmon -i acceptteula -h md5 -n”
- Per disinstallare “sysmon -u”
System Monitor memorizza eventi come ID evento come,
- ID evento 1: Utilizzato per la creazione di processi,
- ID evento 2: Un processo ha cambiato l'ora di creazione di un file con data e ora e
- ID evento 3: Per la connessione di rete.
Lo strumento continuerà a funzionare in background e scriverà tutti i registri degli eventi in una cartella. Dopo l'installazione o la disinstallazione non è richiesto il riavvio del sistema.
È uno strumento indispensabile per tutti i computer che eseguono Windows. Vai a prendere lo strumento Monitor di sistema da Qui!
AGGIORNARE: Microsoft Sysinternals Sysmon registra ora l'attività del processo nel registro eventi di Windows per l'utilizzo del rilevamento degli incidenti e analisi forense, include il carico del driver e gli eventi di caricamento delle immagini con informazioni sulla firma, l'algoritmo configurabile di hashing, filtri flessibili per includere ed escludere eventi e supporto per fornire la configurazione tramite un file di configurazione anziché dalla riga di comando.
