Sysinternals Sysmon программа для мониторинга и логирования системных событий

Категория: Технические советы

– Автор: Игорь (Администратор)

Windows Sysinternals знаменита своим набором бесплатных системных утилит, таких как Process Explorer (диспетчер процессов), FileMon (мониторинг файловой системы) и RegMon (мониторинг реестра), позволяющих получать детальную информацию о действиях в системе. В данной же статье речь пойдет об еще одной бесплатной утилиты от Марка Руссиновича из Sysinternals под названием SysMon.

Sysmon это инструмент командной строки, предназначенный для опытных пользователей Windows. Утилита добавляет к стандартному мониторингу и логированию системных событий ряд дополнительных возможностей. Саму программы вы можете найти на сайте Microsoft по этой ссылке. Zip-архив с программой весит всего 613 Кб и содержит исполняемый файл и файл с лицензией (EULA.txt). Программу можно разместить в любом месте, но более удобным будет ее размещение в каталоге, который перечислен в переменной среды окружения "Path". Для установки программы, необходимо в командной строке набрать следующую команду:

• sysmom -i

Вот небольшой отрывок из описания sysmon с сайта Microsoft:

Системный монитор (Sysmon) представляет собой системный сервис и драйвер Windows, который после установки в системе остается резидентным (в фоновом режиме) после загрузки операционной системы и позволяет отслеживать и логировать системные события в журнал событий Windows. Программа предоставляет детальную информацию о процессах, сетевых соединениях и изменениях в файлах. Собранная с помощью Sysmon информация в журнале событий, по средствам SIEM агентов, в первую очередь предназначена для анализа аномальной и вредоносной активности, который позволит понять, каким образом злоумышленники и вредоносные программы действуют в вашей сети.

Обратите внимание, что Sysmon не предоставляет инструментов для анализа, а так же не осуществляет каких-либо действий для защиты и скрытия себя от злоумышленников.

В последней версии Sysmon, сервис, который записывает активность процессов в журнал событий Windows для последующего анализа, теперь так же отслеживает события загрузки драйверов и образов вместе с их сигнатурой, предоставляет настраиваемую отчетность, поддерживает гибкие фильтры для включения и исключения событий, а так же позволяет настраивать утилиту через конфигурационный файл вместо командной строки.

В целом, Sysmon от Sysinternals это мощный инструмент, который в первую очередь предназначен для использования техническими специалистами. Начинающим и обычным пользователям он может пригодиться только, как средство предоставления дополнительной информации для решения проблем.

• DNS Jumper программа для настройки DNS
• Файл Thumbs db что это и как его удалить (отключить)?