Microsoft, son kullanıcılar için Windows işletim sistemiyle ince ayar yapmak, oynatmak, sorun gidermek, tanılamak, güvenliğini sağlamak veya herhangi bir şey yapmak için kullanılabilecek çok sayıda yararlı araç sunar. Sisinternaller Sistem Monitörü (Sysmon), Windows tabanlı bilgisayar için tasarlanmış, tüm sistem günlük dosyalarını toplayan, yeni piyasaya sürülen bir araçtır. Bu günlük dosyaları, Windows ile ilgili sorunları anlamak için çok önemli ve çok önemlidir. Sysmon kurulduktan sonra arka planda uykuda olarak çalışmaya devam eder ve gerektiğinde tekrar hayata döndürülebilir.
Windows için Sysmon Sistem Monitörü
System Monitor'ün arkasındaki temel iş akışı, işlem kimlikleri, GUID'ler, SHA1, MD5 (SHA256) karma günlükleri gibi Windows Olay Toplama (Olay Görüntüleyici) ve Güvenlik Bilgileri ve Olay Yönetimi (SIEM) aracılarından gelen bilgileri depolamasıdır. Tüm bu dosyaları altında saklar Uygulamalar ve Hizmetler\günlükler\Microsoft\Windows\Sysmon\operasyonel Windows 10/8/7/Vista ve altında klasör Sistem olay günlüğü Windows XP gibi eski Windows işletim sistemlerinde.
Sistem Monitörü nasıl kurulur
- Sysmon'u indirin [aşağıda verilen indirme bağlantısı]
- İndirilen dosya zip formatında olacaktır. Windows varsayılan dosya çıkarıcıyı kullanarak dosyayı açın veya Winrar, 7zip vb. deneyin.
- Dosya açıldıktan sonra çalıştırın "Sistem" EULA'yı kabul edin ve İleri'ye basın.
- Sistemin, Monitörün kurulumu tamamlamasını bekleyin, hepsi bu!
Sysmon nasıl kullanılır
Sysmon'daki komut satırı, Sistem Monitörü'nün yapılandırmasını kurmak, kaldırmak, kontrol etmek ve ince ayar yapmak için kullanılabilir:
Yükleme: Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]
Yapılandırın: Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]
Kaldırma: Sysmon.exe -u
Kullanıcının anlaması gereken birkaç komut şunlardır:
-ben: servis ve sürücü programlarını yükleyin
-n: ağ bağlantısı günlüklerini depolar
-sen: hizmet ve sürücü programlarını kaldırın
-c: bilgisayarda yüklü sysmon sürücüsünü günceller veya mevcut yapılandırma ayarlarının dökümüne yardımcı olur
-h: Programa uygulanan algoritmayı belirtir [varsayılan olarak SHA1 uygulanır]
Örnekler:
- Uygulamayı varsayılan ayarlarla yüklemek için: “sysmon -i kabul ediyorum” tırnak işaretleri olmadan [SHA1 varsayılanı]
- Uygulamayı MD5 [SHA256] ayarlarıyla kurmak için: “sysmon -i kabul -h md5 -n”
- Kaldırmak için “sistem -u”
Sistem Monitörü, Olay Kimlikleri gibi olayları şu şekilde depolar:,
- Olay Kimliği 1: Proses Oluşturma için kullanılır,
- Olay Kimliği 2: Bir İşlem, dosya oluşturma zamanını zaman damgasıyla değiştirdi ve
- Olay Kimliği 3: Ağ Bağlantısı İçin.
Araç arka planda çalışmaya devam edecek ve tüm olay günlüklerini bir klasöre yazacaktır. Yükledikten veya kaldırdıktan sonra sistemin yeniden başlatılması gerekli değildir.
Windows üzerinde çalışan tüm bilgisayarlar için olmazsa olmaz bir araçtır. Sistem Monitörü aracını şuradan alın: İşte!
GÜNCELLEME: Windows Sysinternals Sysmon artık olay algılama ve adli analiz tarafından kullanılmak üzere işlem etkinliğini Windows olay günlüğüne kaydeder, imza bilgileriyle birlikte sürücü yükleme ve görüntü yükleme olayları, yapılandırılabilir karma algoritma raporlaması, olayları dahil etmek ve hariç tutmak için esnek filtreler ve aşağıdakiler için destek içerir: komut satırı yerine bir yapılandırma dosyası aracılığıyla yapılandırma sağlama. Ayrıca, kötü amaçlı yazılım işlemi kurcalama algılamasını da alır.