Sysinternals Sysmon программа для мониторинга и логирования системных событий
- Категория: Технические советы
- – Автор: Игорь (Администратор)
Windows Sysinternals знаменита своим набором бесплатных системных утилит, таких как Process Explorer (диспетчер процессов), FileMon (мониторинг файловой системы) и RegMon (мониторинг реестра), позволяющих получать детальную информацию о действиях в системе. В данной же статье речь пойдет об еще одной бесплатной утилиты от Марка Руссиновича из Sysinternals под названием SysMon.
Sysmon это инструмент командной строки, предназначенный для опытных пользователей Windows. Утилита добавляет к стандартному мониторингу и логированию системных событий ряд дополнительных возможностей. Саму программы вы можете найти на сайте Microsoft по этой ссылке. Zip-архив с программой весит всего 613 Кб и содержит исполняемый файл и файл с лицензией (EULA.txt). Программу можно разместить в любом месте, но более удобным будет ее размещение в каталоге, который перечислен в переменной среды окружения "Path". Для установки программы, необходимо в командной строке набрать следующую команду:
- sysmom -i
Вот небольшой отрывок из описания sysmon с сайта Microsoft:
Системный монитор (Sysmon) представляет собой системный сервис и драйвер Windows, который после установки в системе остается резидентным (в фоновом режиме) после загрузки операционной системы и позволяет отслеживать и логировать системные события в журнал событий Windows. Программа предоставляет детальную информацию о процессах, сетевых соединениях и изменениях в файлах. Собранная с помощью Sysmon информация в журнале событий, по средствам SIEM агентов, в первую очередь предназначена для анализа аномальной и вредоносной активности, который позволит понять, каким образом злоумышленники и вредоносные программы действуют в вашей сети.
Обратите внимание, что Sysmon не предоставляет инструментов для анализа, а так же не осуществляет каких-либо действий для защиты и скрытия себя от злоумышленников.
В последней версии Sysmon, сервис, который записывает активность процессов в журнал событий Windows для последующего анализа, теперь так же отслеживает события загрузки драйверов и образов вместе с их сигнатурой, предоставляет настраиваемую отчетность, поддерживает гибкие фильтры для включения и исключения событий, а так же позволяет настраивать утилиту через конфигурационный файл вместо командной строки.
В целом, Sysmon от Sysinternals это мощный инструмент, который в первую очередь предназначен для использования техническими специалистами. Начинающим и обычным пользователям он может пригодиться только, как средство предоставления дополнительной информации для решения проблем.
-
DNS Jumper программа для настройки DNS Технические советы
-
InstalledDriversList программа для просмотра установленных драйверов в Windows 7 Технические советы
-
USB Device Tree Viewer программа для получения детальной информации об usb устройствах в Windows Технические советы
-
SiSoftware Sandra Lite легкий способ узнать все о вашем компьютере Технические советы
-
Три полезных совета для экономии времени при использовании программ в Windows 7 Технические советы
-
Файл Thumbs db что это и как его удалить (отключить)? Технические советы
-
Три малоизвестных инструмента Windows: оснастка печати, математические формулы, создание собственных символов Технические советы
-
ExactFile программа для проверки целостности файлов Технические советы
-
Как создать PDF файл с возможностью редактирования в OpenOffice? Технические советы
-
Пять малоизвестных системных утилит от Microsoft Sysinternals Технические советы
