A Microsoft oferece uma infinidade de ferramentas úteis para usuários finais que podem ser usadas para ajustar, jogar, solucionar problemas, diagnosticar, proteger ou fazer qualquer coisa com o sistema operacional Windows. Sysinternals Monitor do sistema (Sysmon), é uma ferramenta recém-lançada projetada para computadores baseados em Windows que coleta todos os arquivos de log do sistema. Esses arquivos de log são muito importantes e cruciais para entender os problemas relativos ao Windows. O Sysmon, uma vez instalado, continua funcionando em segundo plano como dormente e pode ser trazido de volta à vida quando necessário.
Sysmon System Monitor para Windows
O fluxo de trabalho básico por trás do Monitor de sistema é que ele armazena informações de agentes de coleta de eventos do Windows (Visualizador de eventos) e Informações de segurança e gerenciamento de eventos (SIEM), como IDs de processos, GUIDs, SHA1, MD5 (SHA256) hash logs. Ele armazena todos esses arquivos em Aplicativos e serviços \ logs \ Microsoft \ Windows \ Sysmon \ operacional pasta no Windows 10/8/7 / Vista e em Log de eventos do sistema em sistemas operacionais Windows mais antigos, como o Windows XP.
Como instalar o System Monitor
- Baixe o Sysmon [link para download fornecido abaixo]
- O arquivo baixado estará em formato zip. Descompacte o arquivo usando o extrator de arquivos padrão do Windows ou tente Winrar, 7zip etc.
- Assim que o arquivo for descompactado, execute “Sysmon” aceite o EULA e clique em Avançar.
- Espere que o sistema e o monitor concluam a instalação, isso é tudo!
Como usar o Sysmon
A linha de comando no sysmon pode ser usada para instalar, desinstalar, verificar e ajustar a configuração do System Monitor:
Instalar: Sysmon.exe -i [-h [sha1 | md5 | sha256]] [-n]
Configurar: Sysmon.exe -c [[-h [sha1 | md5 | sha256]] [-n] | -]
Desinstalar: Sysmon.exe -u
Alguns comandos que o usuário precisa entender são:
-eu: instalar programas de serviço e driver
-n: armazena registros de conexão de rede
-você: desinstalar programas de serviço e driver
-c: atualiza o driver sysmon instalado no computador ou ajuda a despejar as configurações atuais disponíveis
-h: Especifica o algoritmo aplicado ao programa [por padrão, SHA1 é aplicado]
Exemplos:
- Para instalar o aplicativo com as configurações padrão: “sysmon -i aceiteula” sem aspas [padrão SHA1]
- Para instalar o aplicativo com configurações MD5 [SHA256]: “sysmon -i aceitaçãoteula -h md5 -n”
- Para desinstalar “sysmon -u”
O Monitor do sistema armazena eventos como IDs de eventos como,
- ID do evento 1: Usado para Criação de Processo,
- ID do evento 2: Um processo alterou a hora de criação de um arquivo com carimbo de data / hora e
- ID de evento 3: Para conexão de rede.
A ferramenta continuará funcionando em segundo plano e gravará todos os logs de eventos em uma pasta. Depois de instalar ou desinstalar, nem tudo é necessário reiniciar o sistema.
É uma ferramenta imprescindível para todos os computadores que executam no Windows. Vá pegar a ferramenta System Monitor de aqui!
ATUALIZAR: O Windows Sysinternals Sysmon agora também registra a atividade do processo no log de eventos do Windows para uso por detecção de incidentes e análise forense, inclui carregamento de driver e eventos de carregamento de imagem com informações de assinatura, relatório de algoritmo de hash configurável, filtros flexíveis para incluir e excluir eventos e suporte para fornecer configuração por meio de um arquivo de configuração em vez da linha de comando. Ele também obtém detecção de violação do processo de malware.