Новая служебная программа Windows Sysinternals — Sysmon

Системный монитор (Sysmon) — это новая служебная программа Windows Sysinternals, после установки она действует как системная служба Windows и диск устройства для мониторинга и регистрации активности системы в журнале событий Windows. Он предоставляет подробную информацию о создании процессов, сетевых подключениях и изменениях времени создания файлов.

Чтобы установить Sysmon с включенным сетевым журналом, введите следующую команду в командной строке, которая запускается от имени администратора.

 sysmon -i -accepteula -n 

Параметр -accepteula предназначен для обхода экрана с соглашением EULA. Вы можете изменить метод хеширования по умолчанию SHA1 на MD5 или SHA256. Обратите внимание, что для того, чтобы внести какие-либо изменения в установленный Sysmon, вам нужно сначала удалить службу и переустановить ее с помощью соответствующего переключателя.

Чтобы удалить службу Sysmon с вашего компьютера, просто используйте:

 sysmon -u 

После установки Sysmon вы можете найти его в диспетчере Services .

Затем через некоторое время вы увидите поток журналов событий из средства просмотра событий . Вы можете найти их в Журналы приложений и служб → Microsoft → Windows → Sysmon в средстве просмотра событий Windows.

С помощью этих журналов событий, собранных Sysmon, вы можете использовать Windows Event Collection для их дальнейшего анализа. Если вам повезет, вы сможете определить вредоносные действия и понять, как злоумышленники и вредоносные программы действуют в вашей сети.

Sysmon отлично работает почти во всех Windows, как 32-разрядных, так и 64-разрядных версиях. Это отличный инструмент для сбора событий, который помогает устранять неполадки на проблемных машинах и определять проблему. Поскольку он может легко создавать на вашем компьютере тонны файлов журналов, было бы лучше запускать его при необходимости.

Оцените статью
toodcast.ru
Добавить комментарий