Microsoft tarjoaa joukon hyödyllisiä työkaluja loppukäyttäjille, joita voidaan käyttää säätämään, toistamaan, vianmäärityksessä, diagnosoinnissa, suojauksessa tai tehdä mitä tahansa Windows - käyttöjärjestelmän kanssa. Sysinternals System Monitor (Sysmon) on yksi tällainen äskettäin julkaistu ^{(System Monitor (Sysmon),)}Windows -pohjaisille tietokoneille suunniteltu työkalu, joka kerää kaikki järjestelmän lokitiedostot. Nämä lokitiedostot ovat erittäin tärkeitä ja ratkaisevia Windowsiin^(Windows) liittyvien ongelmien ymmärtämiseksi . Kun Sysmon^(Sysmon) on asennettu, se toimii taustalla lepotilassa ja voidaan tarvittaessa herättää eloon.

Sysmon System Monitor for Windows

System Monitorin^{(System Monitor)} taustalla oleva perustyönkulku on se, että se tallentaa tietoja Windows Event Collection ( Event Viewer ) ja Security Information and Event Management ( SIEM ) -agenteista^(IDs) , kuten prosessitunnukset , GUID^(GUIDs) :t , SHA1 , MD5 ( SHA256 ) hash-lokit. Se tallentaa kaikki nämä tiedostot Applications and Services\logs\Microsoft\Windows\Sysmon\operational MicrosoftWindowsSysmonoperational -kansioon Windows 10/8/7/Vista ja Järjestelmätapahtumalokiin^{( System event log)}  vanhemmissa Windows - käyttöjärjestelmissä, kuten Windows XP.

Kuinka asentaa System Monitor
^{(How to install System Monitor)}

• Lataa Sysmon [^{(Download Sysmon [)} latauslinkki alla]
• Ladattu tiedosto on zip-muodossa. Pura tiedosto Windowsin oletustiedostojen purkajalla tai kokeile Winraria^(Winrar) , 7zipiä jne.
• Kun tiedosto on purettu, suorita "Sysmon" hyväksy EULA ja paina Seuraava.
• Odota^(Wait) , että järjestelmä^(System) , näyttö^(Monitor) suorittaa asennuksen loppuun, siinä kaikki!

Kuinka käyttää Sysmonia^{(How to use Sysmon)}

Sysmonin komentoriviä voidaan käyttää System Monitorin kokoonpanon asentamiseen, poistamiseen, tarkistamiseen ja säätämiseen:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Muutamia komentoja, jotka käyttäjän on ymmärrettävä, ovat:^{(Few commands that user need to understand are:)}

– i: asenna palvelu- ja ajuriohjelmat

-n : tallentaa verkkoyhteyslokit

-u : poista palvelu- ja ajuriohjelmat

-c : se päivittää tietokoneeseen asennetun sysmon-ohjaimen tai auttaa tyhjentämään käytettävissä olevat kokoonpanoasetukset

-h : Se määrittää ohjelmaan käytetyn algoritmin [oletusarvoisesti SHA1 on käytössä]

Esimerkkejä:^(Examples:)

• Sovelluksen asentaminen oletusasetuksilla: " sysmon -i accepteula " ilman lainausmerkkejä [SHA1 oletus]
• Sovelluksen asentaminen MD5 [SHA256] -asetuksella: “ sysmon -i accepteula –h md5 -n ”  
• " sysmon -u " -asennuksen poistaminen

System Monitor tallentaa tapahtumat, kuten tapahtumatunnukset^{(Event IDs)} ,

• Tapahtumatunnus 1^{(Event ID 1)} : Käytetään prosessin luomiseen,
• Tapahtumatunnus 2^{(Event ID 2)} : Prosessi^(Process) muutti tiedoston luontiaikaa aikaleimalla ja
• Tapahtumatunnus 3^{(Event ID 3)} : Verkkoyhteyttä varten.

Työkalu jatkaa toimintaansa taustalla ja kirjoittaa kaikki tapahtumalokit kansioon. Asennuksen tai asennuksen poistamisen jälkeen järjestelmän uudelleenkäynnistystä ei vaadita.

Se on pakollinen työkalu kaikille Windows -tietokoneille . Mene nappaamaan System Monitor -työkalu here!

PÄIVITYS^(UPDATE) : Windows Sysinternals Sysmon tallentaa nyt myös prosessitoiminnan Windowsin^(Windows) tapahtumalokiin tapausten havaitsemiseen ja rikostekniseen analyysiin, sisältää ohjaimen lataus- ja kuvanlataustapahtumat allekirjoitustiedoilla, konfiguroitavan hajautusalgoritmiraportoinnin, joustavat suodattimet tapahtumien sisällyttämiseen ja poissulkemiseen sekä tuen. määritysten toimittamiseen määritystiedoston kautta komentorivin sijaan. Se havaitsee myös haittaohjelmien prosessin peukaloinnin .

Sysinternals Sysmon system monitor for Windows

Microsoft offers a plethora of useful tools for end-userѕ thаt can be υѕed to tweak, play, troυbleshoot, diagnоse, sеcure, or do anything with the Windows operating system. Sysinternals System Monitor (Sysmon), is one such newly released tool designed for Windows-based computer which collects all system log files. These log files are very important and crucial to understand issues pertaining to Windows. Sysmon once installed keeps running in the background as dormant and can be brought back to life when required.

Sysmon System Monitor for Windows

The basic workflow behind System Monitor is that it stores information from Windows Event Collection (Event Viewer) and Security Information and Event Management (SIEM) agents like process IDs, GUIDs, SHA1, MD5 (SHA256) hash logs. It stores all these files under Applications and Services\logs\Microsoft\Windows\Sysmon\operational folder in Windows 10/8/7/Vista, and under System event log in older Windows operating systems like Windows XP.

How to install System Monitor

• Download Sysmon [download link provided below]
• The downloaded file will be in zip format. Unzip the file using windows default file extractor or try Winrar, 7zip etc.
• Once the file is unzipped, run “Sysmon” accept the EULA and hit Next.
• Wait for System, Monitor to complete installation, that’s all!

How to use Sysmon

The command line in sysmon can be used to install, uninstall, check and to tweak System Monitor’s configuration:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Few commands that user need to understand are:

–i: install service and driver programs

-n: stores network connection logs

-u: uninstall service and driver programs

-c: it updates the installed sysmon driver on the computer or helps to dump current configuration  settings available

-h: It specifies the algorithm applied to the program [by default SHA1 is applied]

Examples:

• To install the application with default settings: “sysmon -i accepteula” without quotes [SHA1 default]
• To install the application with MD5 [SHA256] settings: “sysmon -i accepteula –h md5 -n”  
• To uninstall “sysmon -u”

System Monitor stores events like Event IDs as,

• Event ID 1: Used for Process Creation,
• Event ID 2: A Process changed a file creation time with timestamp and
• Event ID 3: For Network Connection.

The tool will keep running in the background and will write all event logs into a folder. After install or uninstall a system reboot is not all required.

It is a must-have tool for all computers running on Windows. Go grab the System Monitor tool from here!

UPDATE: Windows Sysinternals Sysmon now also records process activity to the Windows event log for use by incident detection and forensic analysis, includes driver load and image load events with signature information, configurable hashing algorithm reporting, flexible filters for including and excluding events, and support for supplying configuration via a configuration file instead of the command line. It also gets malware process tampering detection.

Related posts

• Fyysiset muistirajat Windows 10:n Crash Dump -tiedostoissa

• SysInternals Process Explorer -työkalun käyttäminen Windows 10:ssä

• Process Managerin avulla voit mitata tietokoneen uudelleenkäynnistysaikoja ja paljon muuta

• RAMMap on Sysinternalsin muistinkäytön analysointiapuohjelma

• Jaa tiedostoja kenen tahansa kanssa Send Anywhere for Windows PC:n avulla

• Piilota työkalurivit -vaihtoehto tehtäväpalkin kontekstivalikossa Windows 10:ssä

• Kontekstivalikon editorit: Lisää ja poista kontekstivalikon kohteita Windows 11:ssä

• Minkä tahansa sovelluksen kiinnittäminen tehtäväpalkkiin Windows 11:ssä

• Kuinka käyttää Windows 11/10:n sisäänrakennettuja Charmap- ja Eudcedit-työkaluja

• Drupalin asentaminen WAMP:n avulla Windowsissa

• NumPyn asentaminen PIP:n avulla Windows 10:ssä

• Katso digi-TV:tä ja kuuntele radiota Windows 10:ssä ProgDVB:n avulla

• Ashampoo WinOptimizer on ilmainen ohjelmisto Windows 10:n optimointiin

• Synkronointiasetukset eivät toimi tai ovat harmaana Windows 11/10:ssä

• Kiintolevyasemien vaihtaminen Windows 11/10:ssä Hot Swapilla

• Tehtäväpalkin ilmoitukset eivät näy Windows 11/10:ssä

• Kuinka tarkistaa sammutus- ja käynnistysloki Windows 11/10:ssä

• Parhaat ilmaiset podcast-sovellukset Windows PC:lle

• VirtualDJ on ilmainen virtuaalinen DJ-ohjelmisto Windows PC:lle

• Käynnistä tiedostot helposti Windows 10 -tietokoneiden myLauncherilla