Microsoft bietet eine Fülle nützlicher Tools für Endbenutzer, mit denen das Windows-Betriebssystem optimiert, gespielt, Fehler behoben, diagnostiziert, gesichert oder alles Mögliche mit dem Windows-Betriebssystem gemacht werden kann. Systeminternes Systemmonitor (Sysmon), ist ein solches neu veröffentlichtes Tool, das für Windows-basierte Computer entwickelt wurde und alle Systemprotokolldateien sammelt. Diese Protokolldateien sind sehr wichtig und entscheidend, um Probleme im Zusammenhang mit Windows zu verstehen. Einmal installiertes Sysmon läuft im Hintergrund als ruhend weiter und kann bei Bedarf wieder zum Leben erweckt werden.
Sysmon-Systemmonitor für Windows
Der grundlegende Workflow hinter System Monitor besteht darin, dass Informationen von Windows Event Collection (Event Viewer) und Security Information and Event Management (SIEM)-Agenten wie Prozess-IDs, GUIDs, SHA1, MD5 (SHA256) Hash-Logs gespeichert werden. Es speichert alle diese Dateien unter Anwendungen und Dienste\logs\Microsoft\Windows\Sysmon\operational Ordner in Windows 10/8/7/Vista und darunter Systemereignisprotokoll in älteren Windows-Betriebssystemen wie Windows XP.
So installieren Sie den Systemmonitor
- Sysmon herunterladen [Download-Link unten bereitgestellt]
- Die heruntergeladene Datei wird im ZIP-Format vorliegen. Entpacken Sie die Datei mit dem Windows-Standarddateiextraktor oder versuchen Sie es mit Winrar, 7zip usw.
- Sobald die Datei entpackt ist, führen Sie „Symon“ Akzeptieren Sie die EULA und klicken Sie auf Weiter.
- Warten Sie, bis System, Monitor die Installation abgeschlossen hat, das ist alles!
So verwenden Sie Sysmon®
Die Befehlszeile in sysmon kann verwendet werden, um die Konfiguration von System Monitor zu installieren, zu deinstallieren, zu überprüfen und zu optimieren:
Installieren: Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]
Konfigurieren: Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]
Deinstallieren: Sysmon.exe -u
Einige Befehle, die der Benutzer verstehen muss, sind:
-ich: Service- und Treiberprogramme installieren
-nein: speichert Netzwerkverbindungsprotokolle
-du: Dienst- und Treiberprogramme deinstallieren
-c: Es aktualisiert den installierten Sysmon-Treiber auf dem Computer oder hilft, die aktuellen Konfigurationseinstellungen verfügbar zu machen
-ha: Gibt den Algorithmus an, der auf das Programm angewendet wird [standardmäßig wird SHA1 angewendet]
Beispiele:
- So installieren Sie die Anwendung mit den Standardeinstellungen: “sysmon -ich akzeptiere” ohne Anführungszeichen [SHA1-Standard]
- So installieren Sie die Anwendung mit MD5 [SHA256]-Einstellungen: “sysmon -i accepteula -h md5 -n”
- Deinstallieren “sysmon -u”
Systemmonitor speichert Ereignisse wie Ereignis-IDs als,
- Ereignis-ID 1: Wird für die Prozesserstellung verwendet,
- Ereignis-ID 2: Ein Prozess hat eine Dateierstellungszeit mit Zeitstempel geändert und
- Ereignis-ID 3: Für Netzwerkverbindung.
Das Tool läuft im Hintergrund weiter und schreibt alle Ereignisprotokolle in einen Ordner. Nach der Installation oder Deinstallation ist nicht nur ein Neustart des Systems erforderlich.
Es ist ein unverzichtbares Tool für alle Computer, die unter Windows ausgeführt werden. Holen Sie sich das Systemmonitor-Tool von Hier!
AKTUALISIEREN: Windows Sysinternals Sysmon zeichnet jetzt auch Prozessaktivitäten im Windows-Ereignisprotokoll auf, um sie bei der Vorfallerkennung und forensischen Analyse zu verwenden, umfasst Treiber- und Bildladeereignisse mit Signaturinformationen, konfigurierbare Hashing-Algorithmus-Berichte, flexible Filter zum Ein- und Ausschließen von Ereignissen und Unterstützung für Bereitstellung der Konfiguration über eine Konfigurationsdatei anstelle der Befehlszeile. Es wird auch die Erkennung von Manipulationen des Malware-Prozesses ermöglicht.