A Microsoft^(Microsoft) rengeteg hasznos eszközt kínál a végfelhasználók számára, amelyek segítségével módosítani, lejátszani, hibaelhárítást végezni, diagnosztizálni, biztonságba helyezni vagy bármit meg lehet tenni a Windows operációs rendszerrel. A Sysinternals ^{(Sysinternals)} System Monitor (Sysmon) egy ilyen újonnan kiadott, Windows - alapú számítógépekre tervezett eszköz, amely az összes rendszernaplófájlt összegyűjti. Ezek a naplófájlok nagyon fontosak és kulcsfontosságúak a Windows rendszerrel^(Windows) kapcsolatos problémák megértéséhez . A Sysmon^(Sysmon) telepítése után a háttérben továbbra is alvó állapotban fut, és szükség esetén újra életre keltheti.

Sysmon System Monitor for Windows

A System Monitor^{(System Monitor)} mögött meghúzódó alapvető munkafolyamat az, hogy információkat tárol a Windows Eseménygyűjtemény^{(Windows Event Collection)} ( Eseménynéző^{(Event Viewer)} ) és a Security Information and Event Management ( SIEM ) ügynökökből, mint például a folyamatazonosítók , GUID - ^(IDs)k^(GUIDs) , SHA1 , MD5 ( SHA256 ) hash-naplók. Mindezeket a fájlokat az Applications and Services\logs\Microsoft\Windows\Sysmon\operational MicrosoftWindowsSysmonoperational mappában tárolja Windows 10/8/7/Vista , valamint a Rendszereseménynapló^{( System event log)} alatt  a régebbi Windows operációs rendszerekben, például a Windows XP -ben.^{(Windows XP)}.

A System Monitor telepítése
^{(How to install System Monitor)}

• Sysmon letöltése [^{(Download Sysmon [)} letöltési link lent]
• A letöltött fájl zip formátumú lesz. Csomagolja ki a fájlt a Windows alapértelmezett fájlkibontójával, vagy próbálja ki a Winrar , 7zip stb.
• A fájl kicsomagolása után futtassa a „Sysmon” alkalmazást^{(“Sysmon”)} , fogadja el az EULA-t, és nyomja meg a Tovább gombot.
• Várja^(Wait) meg, amíg a rendszer^(System) , a monitor befejezi a telepítést, ez minden!

A Sysmon használata^{(How to use Sysmon)}

A sysmon parancssora használható a System Monitor telepítésére, eltávolítására, ellenőrzésére és beállítására:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Néhány parancs, amelyet a felhasználónak meg kell értenie:^{(Few commands that user need to understand are:)}

– i: szerviz- és illesztőprogramok telepítése

-n : hálózati kapcsolati naplókat tárol

-u : távolítsa el a szerviz- és illesztőprogramokat

-c : frissíti a számítógépre telepített sysmon illesztőprogramot, vagy segít kiírni az aktuális konfigurációs beállításokat

-h : Megadja a programra alkalmazott algoritmust [alapértelmezés szerint SHA1 van alkalmazva]

Példák:^(Examples:)

• Az alkalmazás telepítéséhez alapértelmezett beállításokkal: " sysmon -i accepteula " idézőjelek nélkül [SHA1 alapértelmezett]
• Az alkalmazás telepítése MD5 [SHA256] beállításokkal: “ sysmon -i accepteula –h md5 -n ”  
• A „ sysmon -u ” eltávolításához^(”)

A System Monitor^{(System Monitor)} az eseményeket, például az eseményazonosítókat^{(Event IDs)} , mint

• Eseményazonosító 1^{(Event ID 1)} : Folyamat létrehozásához használt,
• Eseményazonosító 2^{(Event ID 2)} : A folyamat^(Process) megváltoztatta a fájl létrehozási idejét időbélyeggel és
• 3. eseményazonosító^{(Event ID 3)} : Hálózati kapcsolathoz.

Az eszköz továbbra is futni fog a háttérben, és az összes eseménynaplót egy mappába írja. Telepítés vagy eltávolítás után nem szükséges a rendszer újraindítása.

Ez egy kötelező eszköz minden Windows rendszeren^(Windows) futó számítógépen . Fogja meg a System Monitor eszközt here!

FRISSÍTÉS^(UPDATE) : A Windows Sysinternals Sysmon ezentúl a folyamattevékenységet is rögzíti a Windows eseménynaplóba az incidensészlelés és a kriminalisztika elemzése céljából, tartalmazza az illesztőprogram-betöltési és képbetöltési eseményeket aláírási információkkal, konfigurálható kivonatolási algoritmus jelentéseket, rugalmas szűrőket az események felvételéhez és kizárásához, valamint támogatást. a konfiguráció megadásához egy konfigurációs fájlon keresztül a parancssor helyett. Ezenkívül észleli a rosszindulatú programok manipulálását .

Sysinternals Sysmon system monitor for Windows

Micrоsoft offers a plethora of useful tools for еnd-users that can be used to tweak, play, troubleshoot, diagnose, seсure, or do anything with the Windows operating system. Sysinternals System Monitor (Sysmon), is one such newly released tool designed for Windows-based computer which collects all system log files. These log files are very important and crucial to understand issues pertaining to Windows. Sysmon once installed keeps running in the background as dormant and can be brought back to life when required.

Sysmon System Monitor for Windows

The basic workflow behind System Monitor is that it stores information from Windows Event Collection (Event Viewer) and Security Information and Event Management (SIEM) agents like process IDs, GUIDs, SHA1, MD5 (SHA256) hash logs. It stores all these files under Applications and Services\logs\Microsoft\Windows\Sysmon\operational folder in Windows 10/8/7/Vista, and under System event log in older Windows operating systems like Windows XP.

How to install System Monitor

• Download Sysmon [download link provided below]
• The downloaded file will be in zip format. Unzip the file using windows default file extractor or try Winrar, 7zip etc.
• Once the file is unzipped, run “Sysmon” accept the EULA and hit Next.
• Wait for System, Monitor to complete installation, that’s all!

How to use Sysmon

The command line in sysmon can be used to install, uninstall, check and to tweak System Monitor’s configuration:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Few commands that user need to understand are:

–i: install service and driver programs

-n: stores network connection logs

-u: uninstall service and driver programs

-c: it updates the installed sysmon driver on the computer or helps to dump current configuration  settings available

-h: It specifies the algorithm applied to the program [by default SHA1 is applied]

Examples:

• To install the application with default settings: “sysmon -i accepteula” without quotes [SHA1 default]
• To install the application with MD5 [SHA256] settings: “sysmon -i accepteula –h md5 -n”  
• To uninstall “sysmon -u”

System Monitor stores events like Event IDs as,

• Event ID 1: Used for Process Creation,
• Event ID 2: A Process changed a file creation time with timestamp and
• Event ID 3: For Network Connection.

The tool will keep running in the background and will write all event logs into a folder. After install or uninstall a system reboot is not all required.

It is a must-have tool for all computers running on Windows. Go grab the System Monitor tool from here!

UPDATE: Windows Sysinternals Sysmon now also records process activity to the Windows event log for use by incident detection and forensic analysis, includes driver load and image load events with signature information, configurable hashing algorithm reporting, flexible filters for including and excluding events, and support for supplying configuration via a configuration file instead of the command line. It also gets malware process tampering detection.

Related posts

• Fizikai memóriakorlátok a Crash Dump fájlokban a Windows 10 rendszerhez

• A SysInternals Process Explorer eszköz használata Windows 10 rendszerhez

• A Process Manager segítségével mérheti a számítógép újraindítási idejét és még sok mást

• A RAMMap a Sysinternals memóriahasználat-elemző segédprogramja

• Ossza meg fájljait bárkivel a Send Anywhere for Windows PC segítségével

• A Network Sniffer Tool PktMon.exe használata Windows 10 rendszerben

• A Disk Signature Collision probléma megoldása a Windows 11/10 rendszerben

• A legjobb ingyenes Menetrend szoftver Windows 11/10 rendszerhez

• A Windows 11/10 beépített Charmap és Eudcedit eszközeinek használata

• Javítsa ki a 0x80070422 számú Windows Update hibát Windows 10 rendszeren

• Eszköztárak elrejtése a Tálca helyi menüjében a Windows 10 rendszerben

• A tálca értesítései nem jelennek meg a Windows 11/10 rendszerben

• A Microsoft Intune nem szinkronizál? Kényszerítse az Intune-t szinkronizálásra a Windows 11/10 rendszerben

• A leállítási és indítási napló ellenőrzése a Windows 11/10 rendszerben

• A VirtualDJ egy ingyenes virtuális DJ szoftver Windows PC-hez

• Engedélyezze a hálózati kapcsolatokat modern készenléti állapotban a Windows 11/10 rendszeren

• A reakcióidő mérése a Windows 11/10 rendszerben

• A Windows megragadt az üdvözlőképernyőn

• Hogyan lehet megnyitni a Rendszer tulajdonságait a Vezérlőpulton a Windows 11/10 rendszerben

• Hogyan rögzíthet bármilyen alkalmazást a tálcára a Windows 11 rendszerben