Microsoft ponúka množstvo užitočných nástrojov pre koncových používateľov, ktoré možno použiť na vyladenie, prehrávanie, odstraňovanie problémov, diagnostiku, zabezpečenie alebo čokoľvek iné s operačným systémom Windows . Sysinternals System Monitor (Sysmon) je jedným z takýchto novo vydaných nástrojov navrhnutých pre počítač so systémom Windows^(Windows) , ktorý zhromažďuje všetky súbory denníka systému. Tieto protokolové súbory sú veľmi dôležité a kľúčové na pochopenie problémov týkajúcich sa systému Windows^(Windows) . Po nainštalovaní Sysmon^(Sysmon) beží na pozadí ako nečinný a v prípade potreby ho možno vrátiť k životu.

Sysmon System Monitor pre Windows

Základným pracovným postupom nástroja System Monitor je to, že ukladá informácie z zhromažďovania udalostí systému Windows^{(Windows Event Collection)} ( Prehliadač udalostí^{(Event Viewer)} ) a agentov správy bezpečnostných informácií^{(Security Information)} a udalostí^{(Event Management)} ( SIEM ), ako sú ^(SIEM)ID^(IDs) procesov , GUID^(GUIDs) , hash protokoly SHA1 , MD5 ( SHA256 ). Všetky tieto súbory ukladá do priečinka Applications and Services\logs\Microsoft\Windows\Sysmon\operational v Windows 10/8/7/Vista a pod protokolom systémových udalostí^{( System event log)}  v starších operačných^(Windows) systémoch Windows, ako je Windows XP ..

Ako nainštalovať System Monitor
^{(How to install System Monitor)}

• Stiahnite si Sysmon [^{(Download Sysmon [)} odkaz na stiahnutie uvedený nižšie]
• Stiahnutý súbor bude vo formáte zip. Rozbaľte súbor pomocou predvoleného extraktora súborov systému Windows alebo skúste Winrar , 7zip atď.
• Po rozbalení súboru spustite „Sysmon“ , prijmite zmluvu EULA a stlačte Ďalej.
• Počkajte^(Wait) na dokončenie inštalácie System , Monitor , to je všetko!^(Monitor)

Ako používať Sysmon^{(How to use Sysmon)}

Príkazový riadok v sysmon možno použiť na inštaláciu, odinštalovanie, kontrolu a ladenie konfigurácie System Monitor:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Používateľ musí pochopiť niekoľko príkazov:^{(Few commands that user need to understand are:)}

– i: inštalácia servisných a ovládačov

-n : ukladá protokoly sieťového pripojenia

-u : odinštalovanie servisných a ovládačov

-c : aktualizuje nainštalovaný ovládač sysmon v počítači alebo pomáha vypísať aktuálne dostupné nastavenia konfigurácie

-h : Určuje algoritmus použitý v programe [predvolene sa používa SHA1 ]

Príklady:^(Examples:)

• Inštalácia aplikácie s predvolenými nastaveniami: „ sysmon -i accepteula “ bez úvodzoviek [predvolené SHA1]
• Ak chcete nainštalovať aplikáciu s nastaveniami MD5 [SHA256]: „ sysmon -i accepteula –h md5 -n “  
• Ako odinštalovať „ sysmon -u “

Monitor systému^{(System Monitor)} ukladá udalosti, ako sú ID udalostí^{(Event IDs)} ,

• ID udalosti 1^{(Event ID 1)} : Používa sa na vytvorenie procesu,
• ID udalosti 2^{(Event ID 2)} : Proces^(Process) zmenil čas vytvorenia súboru s časovou pečiatkou a
• ID udalosti 3^{(Event ID 3)} : Pre sieťové pripojenie.

Nástroj zostane spustený na pozadí a zapíše všetky protokoly udalostí do priečinka. Po inštalácii alebo odinštalovaní nie je všetko potrebné reštartovať systém.

Je to nevyhnutný nástroj pre všetky počítače so systémom Windows . Choďte odtiaľto do nástroja Monitor systému ^{(System Monitor)}here!

AKTUALIZÁCIA^(UPDATE) : Windows Sysinternals Sysmon teraz tiež zaznamenáva aktivitu procesu do denníka udalostí systému Windows^(Windows) na použitie pri detekcii incidentov a forenznej analýze, zahŕňa načítanie ovládačov a udalosti načítania obrázkov s informáciami o podpise, konfigurovateľné hlásenie hashovacích algoritmov, flexibilné filtre na zahrnutie a vylúčenie udalostí a podporu na poskytovanie konfigurácie prostredníctvom konfiguračného súboru namiesto príkazového riadku. Získava tiež detekciu narušenia procesu malvéru .

Sysinternals Sysmon system monitor for Windows

Microsoft offers a plethora of usefυl tools for еnd-users that can be used to tweak, play, troubleshoot, diagnose, seсure, or do anything with the Windows operating system. Sysinternals System Monitor (Sysmon), is one such newly released tool designed for Windows-based computer which collects all system log files. These log files are very important and crucial to understand issues pertaining to Windows. Sysmon once installed keeps running in the background as dormant and can be brought back to life when required.

Sysmon System Monitor for Windows

The basic workflow behind System Monitor is that it stores information from Windows Event Collection (Event Viewer) and Security Information and Event Management (SIEM) agents like process IDs, GUIDs, SHA1, MD5 (SHA256) hash logs. It stores all these files under Applications and Services\logs\Microsoft\Windows\Sysmon\operational folder in Windows 10/8/7/Vista, and under System event log in older Windows operating systems like Windows XP.

How to install System Monitor

• Download Sysmon [download link provided below]
• The downloaded file will be in zip format. Unzip the file using windows default file extractor or try Winrar, 7zip etc.
• Once the file is unzipped, run “Sysmon” accept the EULA and hit Next.
• Wait for System, Monitor to complete installation, that’s all!

How to use Sysmon

The command line in sysmon can be used to install, uninstall, check and to tweak System Monitor’s configuration:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Few commands that user need to understand are:

–i: install service and driver programs

-n: stores network connection logs

-u: uninstall service and driver programs

-c: it updates the installed sysmon driver on the computer or helps to dump current configuration  settings available

-h: It specifies the algorithm applied to the program [by default SHA1 is applied]

Examples:

• To install the application with default settings: “sysmon -i accepteula” without quotes [SHA1 default]
• To install the application with MD5 [SHA256] settings: “sysmon -i accepteula –h md5 -n”  
• To uninstall “sysmon -u”

System Monitor stores events like Event IDs as,

• Event ID 1: Used for Process Creation,
• Event ID 2: A Process changed a file creation time with timestamp and
• Event ID 3: For Network Connection.

The tool will keep running in the background and will write all event logs into a folder. After install or uninstall a system reboot is not all required.

It is a must-have tool for all computers running on Windows. Go grab the System Monitor tool from here!

UPDATE: Windows Sysinternals Sysmon now also records process activity to the Windows event log for use by incident detection and forensic analysis, includes driver load and image load events with signature information, configurable hashing algorithm reporting, flexible filters for including and excluding events, and support for supplying configuration via a configuration file instead of the command line. It also gets malware process tampering detection.

Related posts

• Limity fyzickej pamäte v súboroch výpisu zlyhaní pre Windows 10

• Ako používať nástroj SysInternals Process Explorer pre Windows 10

• Process Manager vám umožňuje merať časy reštartovania počítača a ďalšie

• RAMMap je nástroj na analýzu využitia pamäte od spoločnosti Sysinternals

• Zdieľajte súbory s kýmkoľvek pomocou Send Anywhere pre Windows PC

• Čo je súbor Windows.edb v systéme Windows 11/10

• Ako vymeniť jednotky pevného disku v systéme Windows 11/10 pomocou funkcie Hot Swap

• Ashampoo WinOptimizer je bezplatný softvér na optimalizáciu systému Windows 10

• Ako vyriešiť problém s kolíziou podpisu disku v systéme Windows 11/10

• Ako zmeniť predvolenú webovú kameru v počítači so systémom Windows 11/10

• Povoľte sieťové pripojenia v modernom pohotovostnom režime v systéme Windows 11/10

• Zálohujte, presúvajte alebo vymažte PageFile.sys pri vypnutí v systéme Windows 11/10

• Ako používať vstavané nástroje Charmap a Eudcedit systému Windows 11/10

• Opravte chybu Windows Update 0x8e5e03fa v systéme Windows 10

• Alt-Tab Terminator vylepšuje predvolenú funkciu Windows ALT-Tab

• Ako pripnúť ľubovoľnú aplikáciu na panel úloh v systéme Windows 11

• Systému Windows sa nepodarilo nájsť požadovaný inštalačný súbor boot.wim

• Ako používať Network Sniffer Tool PktMon.exe v systéme Windows 10

• Upozornenia na paneli úloh sa nezobrazujú v systéme Windows 11/10

• Systém Windows sa zasekol na uvítacej obrazovke