Microsoft предлага множество полезни инструменти за крайните потребители, които могат да се използват за настройка, игра, отстраняване на неизправности, диагностика, защита или правене на нещо с операционната система Windows . Sysinternals System Monitor (Sysmon) е един такъв наскоро пуснат инструмент, предназначен за компютър, базиран на Windows , който събира всички системни регистрационни файлове. Тези регистрационни файлове са много важни и от решаващо значение за разбирането на проблеми, свързани с Windows . Sysmon , веднъж инсталиран, продължава да работи във фонов режим като неактивен и може да бъде върнат към живот, когато е необходимо.

Sysmon системен монитор за Windows

Основният работен процес зад System Monitor е, че той съхранява информация от агенти за събиране на събития на Windows^{(Windows Event Collection)} ( Event Viewer ) и информация за сигурност^{(Security Information)} и управление на събития^{(Event Management)} ( SIEM ), като ^(SIEM)идентификатори^(IDs) на процеси , GUID^(GUIDs) , SHA1 , MD5 ( SHA256 ) хеш журнали. Той съхранява всички тези файлове в Applications and Services\logs\Microsoft\Windows\Sysmon\operational папка в Windows 10/8/7/Vista и в регистър на системните събития^{( System event log)}  в по-стари операционни системи Windows, като Windows XP^{(Windows XP)}.

Как да инсталирате System Monitor
^{(How to install System Monitor)}

• Изтеглете Sysmon [^{(Download Sysmon [)} връзката за изтегляне е предоставена по-долу]
• Изтегленият файл ще бъде в zip формат. Разархивирайте файла, като използвате програмата за извличане на файлове по подразбиране на Windows или опитайте Winrar , 7zip и т.н.
• След като файлът бъде разархивиран, стартирайте „Sysmon“ , приемете EULA и натиснете Next.
• Изчакайте ^(Wait)системата^(System) , мониторът^(Monitor) да завърши инсталацията, това е всичко !

Как да използвате Sysmon^{(How to use Sysmon)}

Командният ред в sysmon може да се използва за инсталиране, деинсталиране, проверка и настройка на конфигурацията на системния монитор:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Няколко команди, които потребителят трябва да разбере, са:^{(Few commands that user need to understand are:)}

– i: инсталирайте програми за услуги и драйвери

-n : съхранява регистрационни файлове за мрежови връзки

-u : деинсталиране на програми за услуги и драйвери

-c : актуализира инсталирания драйвер на sysmon на компютъра или помага за изхвърляне на наличните текущи конфигурационни настройки

-h : Указва алгоритъма, приложен към програмата [по подразбиране се прилага SHA1 ]

Примери:^(Examples:)

• За да инсталирате приложението с настройки по подразбиране: “ sysmon -i accepteula ” без кавички [SHA1 по подразбиране]
• За да инсталирате приложението с настройки на MD5 [SHA256]: “ sysmon -i accepteula –h md5 -n “  
• За да деинсталирате “ sysmon -u ”

System Monitor съхранява събития като идентификатори^{(Event IDs)} на събития като,

• Идентификатор на събитие 1^{(Event ID 1)} : Използва се за създаване на процес,
• Идентификатор на събитие 2^{(Event ID 2)} : Процес^(Process) промени времето за създаване на файл с времеви печат и
• Идентификатор на събитие 3^{(Event ID 3)} : За мрежова връзка.

Инструментът ще продължи да работи във фонов режим и ще запише всички регистрационни файлове за събития в папка. След инсталиране или деинсталиране не е необходимо рестартиране на системата.

Това е задължителен инструмент за всички компютри, работещи под Windows . Вземете инструмента за системен монитор^{(System Monitor)} от here!

АКТУАЛИЗАЦИЯ^(UPDATE) : Windows Sysinternals Sysmon вече също записва активността на процеса в дневника на събитията на Windows за използване при откриване на инциденти и криминалистичен анализ, включва събития за зареждане на драйвери и изображения с информация за подпис, конфигурируеми отчитания на алгоритъм за хеширане, гъвкави филтри за включване и изключване на събития и поддръжка за предоставяне на конфигурация чрез конфигурационен файл вместо командния ред. Той също така получава откриване на подправяне на процеса на зловреден софтуер .

Sysinternals Sysmon system monitor for Windows

Microsoft offers a plethora of useful tools for end-users that can be used to tweak, play, troubleshoot, diagnose, sеcure, or do anything with thе Windows operating systеm. Sysinternals System Monitor (Sysmon), is one such newly released tool designed for Windows-based computer which collects all system log files. These log files are very important and crucial to understand issues pertaining to Windows. Sysmon once installed keeps running in the background as dormant and can be brought back to life when required.

Sysmon System Monitor for Windows

The basic workflow behind System Monitor is that it stores information from Windows Event Collection (Event Viewer) and Security Information and Event Management (SIEM) agents like process IDs, GUIDs, SHA1, MD5 (SHA256) hash logs. It stores all these files under Applications and Services\logs\Microsoft\Windows\Sysmon\operational folder in Windows 10/8/7/Vista, and under System event log in older Windows operating systems like Windows XP.

How to install System Monitor

• Download Sysmon [download link provided below]
• The downloaded file will be in zip format. Unzip the file using windows default file extractor or try Winrar, 7zip etc.
• Once the file is unzipped, run “Sysmon” accept the EULA and hit Next.
• Wait for System, Monitor to complete installation, that’s all!

How to use Sysmon

The command line in sysmon can be used to install, uninstall, check and to tweak System Monitor’s configuration:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Few commands that user need to understand are:

–i: install service and driver programs

-n: stores network connection logs

-u: uninstall service and driver programs

-c: it updates the installed sysmon driver on the computer or helps to dump current configuration  settings available

-h: It specifies the algorithm applied to the program [by default SHA1 is applied]

Examples:

• To install the application with default settings: “sysmon -i accepteula” without quotes [SHA1 default]
• To install the application with MD5 [SHA256] settings: “sysmon -i accepteula –h md5 -n”  
• To uninstall “sysmon -u”

System Monitor stores events like Event IDs as,

• Event ID 1: Used for Process Creation,
• Event ID 2: A Process changed a file creation time with timestamp and
• Event ID 3: For Network Connection.

The tool will keep running in the background and will write all event logs into a folder. After install or uninstall a system reboot is not all required.

It is a must-have tool for all computers running on Windows. Go grab the System Monitor tool from here!

UPDATE: Windows Sysinternals Sysmon now also records process activity to the Windows event log for use by incident detection and forensic analysis, includes driver load and image load events with signature information, configurable hashing algorithm reporting, flexible filters for including and excluding events, and support for supplying configuration via a configuration file instead of the command line. It also gets malware process tampering detection.

Related posts

• Ограничения на физическата памет в Crash Dump файлове за Windows 10

• Как да използвате инструмента SysInternals Process Explorer за Windows 10

• Process Manager ви позволява да измервате времето за рестартиране на компютъра и други

• RAMMap е помощна програма за анализ на използването на паметта от Sysinternals

• Споделяйте файлове с всеки с Send Anywhere за компютър с Windows

• Най-добрите безплатни подкаст приложения за компютър с Windows

• Безплатен анти-рансъмуер софтуер за компютри с Windows

• Архивирайте, преместете или изтрийте PageFile.sys при изключване в Windows 11/10

• Какво е PLS файл? Как да създадете PLS файл в Windows 11/10?

• Редактиране, добавяне, възстановяване, премахване на елементи от новото контекстно меню в Windows

• Как да промените размера на лентата на задачите в Windows 11

• Най-добрият безплатен софтуер за монтиране на ISO за Windows 11/10

• Как да сменяте твърди дискове в Windows 11/10 с Hot Swap

• Поправете грешка в Windows Update 0x8e5e03fa в Windows 10

• Как да деактивирате предпазните мерки за актуализации на функции в Windows 10

• Windows не успя да намери необходимия инсталационен файл boot.wim

• Ashampoo WinOptimizer е безплатен софтуер за оптимизиране на Windows 10

• Как да инсталирате Drupal с помощта на WAMP на Windows

• Как да активирате или деактивирате функцията за архивиране на приложения в Windows 11/10

• Стартирайте лесно файлове с myLauncher за компютри с Windows 10