Microsoft menawarkan banyak alat yang berguna untuk pengguna akhir yang dapat digunakan untuk mengubah, memutar, memecahkan masalah, mendiagnosis, mengamankan atau melakukan apa pun dengan sistem operasi Windows. Sysinternals Monitor Sistem (Sysmon), adalah salah satu alat yang baru dirilis yang dirancang untuk komputer berbasis Windows yang mengumpulkan semua file log sistem. File-file log ini sangat penting dan penting untuk memahami masalah-masalah yang berkaitan dengan Windows. Sysmon setelah dipasang terus berjalan di latar belakang sebagai tidak aktif dan dapat dihidupkan kembali saat diperlukan.
Sistem Sysmon Monitor untuk Windows
Alur kerja dasar di belakang Monitor Sistem, adalah bahwa itu menyimpan informasi dari Windows Event Collection (Event Viewer) dan Keamanan Informasi dan Event Management (SIEM) agen seperti ID proses, GUID, SHA1, MD5 (SHA256) hash log. Ini menyimpan semua file-file ini di bawah Aplikasi dan Layanan log Microsoft Windows Sysmon operasional folder di Windows Vista dan sistem operasi yang lebih tinggi seperti Windows 8 dan Windows 7, dan di bawah Log peristiwa sistem di sistem operasi Windows lama seperti Windows XP.
- Unduh Sysmon [unduh tautan yang disediakan di bawah ini]
- File yang diunduh akan dalam format zip. Unzip file menggunakan extractor windows default file atau coba Winrar, 7zip dll
- Setelah file dibuka, jalankan " Sysmon" menerima EULA dan tekan selanjutnya.
- Tunggu Sistem, Pantau untuk menyelesaikan instalasi, itu saja!
Bagaimana cara menggunakan Sysmon
Baris perintah di sysmon dapat digunakan untuk menginstal, menghapus, memeriksa dan untuk mengubah konfigurasi Sistem Monitor:
Instal: Sysmon.exe -i [-h [sha1 | md5 | sha256] [-n]
Konfigurasi: Sysmon.exe -c[-n] | -]
Hapus instalasi: Sysmon.exe –u
Beberapa perintah yang perlu dipahami pengguna adalah:
– saya: menginstal layanan dan program driver
- n: menyimpan log koneksi jaringan
- u: uninstall layanan dan program driver
- c: ini memperbarui driver sysmon yang diinstal di komputer atau membantu membuang pengaturan konfigurasi yang tersedia saat ini
- h: Ini menentukan algoritma yang diterapkan pada program [secara default SHA1 diterapkan]
Contoh:
- Untuk menginstal aplikasi dengan pengaturan default: “sysmon -i accepteula” tanpa tanda kutip [SHA1 default]
- Untuk menginstal aplikasi dengan pengaturan MD5 [SHA256]: “sysmon -i accepteula –h md5 -n”
- Untuk menghapus instalasi “sysmon -u”
Monitor Sistem menyimpan acara seperti ID Peristiwa seperti,
- ID Peristiwa 1: Digunakan untuk Penciptaan Proses,
- ID Peristiwa 2: Proses mengubah waktu pembuatan file dengan stempel waktu dan
- ID Peristiwa 3: Untuk Koneksi Jaringan.
Alat ini akan tetap berjalan di latar belakang dan akan menulis semua log peristiwa ke dalam folder. Setelah menginstal atau menghapus sistem reboot tidak semua diperlukan.
Ini adalah alat yang harus dimiliki untuk semua komputer yang berjalan di Windows. Pergi ambil alat Monitor Sistem dari sini!
MEMPERBARUI: Microsoft Sysinternals Sysmon sekarang juga mencatat aktivitas proses ke log peristiwa Windows untuk digunakan dengan deteksi insiden dan analisis forensik, termasuk beban driver dan kejadian pemuatan gambar dengan informasi tanda tangan, konfigurasi pelaporan hashing yang dapat dikonfigurasi, filter fleksibel untuk menyertakan dan mengecualikan acara, dan dukungan untuk menyediakan konfigurasi melalui file konfigurasi sebagai ganti baris perintah.
