Phenquestions
Microsoft menawarkan banyak alat berguna untuk pengguna akhir yang dapat digunakan untuk mengubah, bermain, menyelesaikan masalah, mendiagnosis, mengamankan, atau melakukan apa saja dengan sistem operasi Windows. Sysinternals Monitor Sistem (Sysmon), adalah salah satu alat yang baru dikeluarkan untuk komputer berasaskan Windows yang mengumpulkan semua fail log sistem. Fail log ini sangat penting dan penting untuk memahami masalah yang berkaitan dengan Windows. Sysmon setelah dipasang terus berjalan di latar belakang sebagai tidak aktif dan dapat dihidupkan kembali apabila diperlukan.
Monitor Sistem Sysmon untuk Windows
Aliran kerja asas di sebalik Sistem Monitor ialah menyimpan maklumat dari ejen Windows Event Collection (Event Viewer) dan Security Information and Event Management (SIEM) seperti ID proses, GUID, SHA1, MD5 (SHA256) log hash. Ia menyimpan semua fail ini di bawah Aplikasi dan Perkhidmatan \ log \ Microsoft \ Windows \ Sysmon \ beroperasi folder dalam Windows 10/8/7 / Vista, dan ke bawah Log peristiwa sistem dalam sistem operasi Windows yang lebih lama seperti Windows XP.
Cara memasang Monitor Sistem
- Muat turun Sysmon [pautan muat turun disediakan di bawah]
- Fail yang dimuat turun akan dalam format zip. Buka zip fail menggunakan pengekstrak fail lalai windows atau cuba Winrar, 7zip dll.
- Setelah fail dizip, jalankan "Sysmon" terima EULA dan tekan Next.
- Tunggu Sistem, Monitor untuk menyelesaikan pemasangan, itu sahaja!
Cara menggunakan Sysmon
Baris arahan dalam sysmon dapat digunakan untuk memasang, menyahpasang, memeriksa dan mengubah konfigurasi Monitor Sistem:
Pasang: Sysmon.exe -i [-h [sha1 | md5 | sha256]] [-n]
Konfigurasikan: Sysmon.exe -c [[-h [sha1 | md5 | sha256]] [-n] | -]
Nyahpasang: Sysmon.exe -u
Beberapa arahan yang perlu difahami oleh pengguna adalah:
-saya: memasang program perkhidmatan dan pemacu
-n: menyimpan log sambungan rangkaian
-awak: nyahpasang program perkhidmatan dan pemacu
-c: ia mengemas kini pemacu sysmon yang terpasang di komputer atau membantu membuang tetapan konfigurasi semasa yang tersedia
-h: Ini menentukan algoritma yang diterapkan pada program [secara default SHA1 diterapkan]
Contoh:
- Untuk memasang aplikasi dengan tetapan lalai: "sysmon -i accepteula" tanpa petikan [SHA1 lalai]
- Untuk memasang aplikasi dengan tetapan MD5 [SHA256]: "sysmon -i accepteula -h md5 -n"
- Untuk menyahpasang "sysmon -u"
Monitor Sistem menyimpan acara seperti ID Peristiwa sebagai,
- ID Acara 1: Digunakan untuk Pembuatan Proses,
- ID Acara 2: Proses mengubah masa pembuatan fail dengan cap waktu dan
- ID Acara 3: Untuk Sambungan Rangkaian.
Alat ini akan terus berjalan di latar belakang dan akan menulis semua log peristiwa ke dalam folder. Selepas memasang atau menyahpasang but semula sistem tidak semua diperlukan.
Ini adalah alat yang mesti ada untuk semua komputer yang berjalan di Windows. Pergi ambil alat Monitor Sistem dari di sini!
KEMASKINI: Windows Sysinternals Sysmon kini juga merekodkan aktiviti proses ke log peristiwa Windows untuk digunakan dengan pengesanan kejadian dan analisis forensik, termasuk peristiwa pemacu dan muatan gambar dengan maklumat tandatangan, pelaporan algoritma hash yang dapat dikonfigurasi, penapis fleksibel untuk memasukkan dan tidak termasuk peristiwa, dan sokongan untuk membekalkan konfigurasi melalui fail konfigurasi dan bukannya baris arahan. Ia juga mendapat pengesanan gangguan proses malware.
