A Microsoft oferece uma infinidade de ferramentas úteis para usuários finais que podem ser usados para ajustar, reproduzir, solucionar problemas, diagnosticar, proteger ou fazer qualquer coisa com o sistema operacional Windows. Sysinternals Monitor do sistema (Sysmon), é uma ferramenta lançada recentemente projetada para o computador baseado no Windows, que coleta todos os arquivos de log do sistema. Esses arquivos de log são muito importantes e cruciais para entender os problemas relacionados ao Windows. O Sysmon, uma vez instalado, continua sendo executado em segundo plano como inativo e pode ser recuperado quando necessário.
Monitor do sistema Sysmon para Windows
O fluxo de trabalho básico por trás do Monitor do Sistema é que ele armazena informações dos agentes de Coleta de Eventos do Windows (Visualizador de Eventos) e de Informações de Segurança e Gerenciamento de Eventos (SIEM), como IDs de processo, GUIDs, SHA1, MD5 (SHA256). Ele armazena todos esses arquivos sob Aplicativos e Serviços logs Microsoft Windows Sysmon operating pasta no Windows Vista e sistemas operacionais superiores, como Windows 8 e Windows 7, e em Log de eventos do sistema em sistemas operacionais Windows mais antigos, como o Windows XP.
- Download Sysmon [link para download fornecido abaixo]
- O arquivo baixado estará no formato zip. Descompacte o arquivo usando o extrator de arquivos padrão do Windows ou tente Winrar, 7zip etc
- Depois que o arquivo é descompactado, execute “Sysmon” aceite o EULA e clique em seguinte.
- Aguarde até que o sistema, o monitor conclua a instalação, isso é tudo!
Como usar o Sysmon
A linha de comando no sysmon pode ser usada para instalar, desinstalar, verificar e ajustar a configuração do Monitor do Sistema:
Instalar: Sysmon.exe -i [-h [sha1 | md5 | sha256] [-n]
Configurar: Sysmon.exe -c[-n] | -]
Desinstalar: Sysmon.exe –u
Poucos comandos que o usuário precisa entender são:
– Eu: instalar programas de serviço e driver
- n: armazena logs de conexão de rede
- você: desinstalar programas de serviço e driver
- c: atualiza o driver sysmon instalado no computador ou ajuda a eliminar as configurações atuais disponíveis
- h: Especifica o algoritmo aplicado ao programa [por padrão, o SHA1 é aplicado]
Exemplos:
- Para instalar o aplicativo com as configurações padrão: “sysmon -i aceita” sem aspas [padrão SHA1]
- Para instalar o aplicativo com configurações MD5 [SHA256]: “sysmon -i aceita -h md5 -n”
- Para desinstalar “sysmon -u”
O Monitor do Sistema armazena eventos como IDs de Eventos como,
- ID do evento 1: Usado para criação de processos,
- ID do evento 2: Um processo alterou a hora de criação de um arquivo com registro de data e hora e
- ID do evento 3: Para conexão de rede.
A ferramenta continuará sendo executada em segundo plano e gravará todos os logs de eventos em uma pasta. Depois de instalar ou desinstalar, a reinicialização do sistema não é necessária.
É necessário ter uma ferramenta para todos os computadores em execução no Windows. Vá pegar a ferramenta Monitor do sistema Aqui!
ATUALIZARMicrosoft Sysmonternals agora também registra a atividade do processo no log de eventos do Windows para uso por detecção de incidentes e análise forense, inclui carga de driver e eventos de carga de imagem com informações de assinatura, relatório de algoritmo de hash configurável, filtros flexíveis para incluir e excluir eventos e suporte para fornecendo configuração através de um arquivo de configuração em vez da linha de comando.
