Sysinternals Hệ thống giám sát Sysmon dành cho Windows

Microsoft cung cấp rất nhiều công cụ hữu ích cho người dùng cuối có thể được sử dụng để tinh chỉnh, phát, khắc phục sự cố, chẩn đoán, bảo mật hoặc làm bất cứ điều gì với hệ điều hành Windows . Sysinternals System Monitor (Sysmon), là một công cụ mới được phát hành được thiết kế cho máy tính chạy hệ điều hành Windows(Windows) , công cụ này thu thập tất cả các tệp nhật ký hệ thống. Các tệp nhật ký này rất quan trọng và cốt yếu để hiểu các vấn đề liên quan đến Windows . Sysmon sau khi được cài đặt tiếp tục chạy ở chế độ nền như không hoạt động và có thể hoạt động trở lại khi được yêu cầu.

Sysmon System Monitor dành cho Windows

Quy trình cơ bản đằng sau System Monitor là nó lưu trữ thông tin từ các tác nhân Bộ sưu tập sự kiện Windows(Windows Event Collection) ( Trình xem sự kiện(Event Viewer) ) và Thông tin bảo mật(Security Information)quản lý sự kiện(Event Management) ( SIEM ) như ID(IDs) quy trình , GUID(GUIDs) , SHA1 , MD5 ( SHA256 ) nhật ký băm. Nó lưu trữ tất cả các tệp này trong thư mục Applications and Services\logs\Microsoft\Windows\Sysmon\operational trong Windows 10/8/7/Vista và trong Nhật ký sự kiện hệ thống trong các hệ điều hành ( System event log)Windows  cũ hơn như Windows XP.

Sysmon System Monitor dành cho Windows

Cách cài đặt System Monitor
(How to install System Monitor)

  • Tải xuống Sysmon [(Download Sysmon [) liên kết tải xuống được cung cấp bên dưới]
  • Tệp được tải xuống sẽ ở định dạng zip. Giải nén tệp bằng trình giải nén tệp mặc định của windows hoặc thử Winrar , 7zip, v.v.
  • Khi tệp được giải nén, hãy chạy “Sysmon” chấp nhận EULA và nhấn Tiếp theo.
  • Chờ (Wait)Hệ thống(System) , Màn hình(Monitor) cài đặt xong, vậy thôi!

Cách sử dụng Sysmon(How to use Sysmon)

Dòng lệnh trong sysmon có thể được sử dụng để cài đặt, gỡ cài đặt, kiểm tra và tinh chỉnh cấu hình của System Monitor:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]
Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]
Uninstall:  Sysmon.exe –u

Một số lệnh mà người dùng cần hiểu là:(Few commands that user need to understand are:)

- i: cài đặt các chương trình dịch vụ và trình điều khiển

-n : lưu trữ nhật ký kết nối mạng

-u : gỡ cài đặt chương trình dịch vụ và trình điều khiển

-c : nó cập nhật trình điều khiển sysmon đã cài đặt trên máy tính hoặc giúp kết xuất các cài đặt cấu hình hiện tại có sẵn

-h : Nó chỉ định thuật toán được áp dụng cho chương trình [theo mặc định SHA1 được áp dụng]

Ví dụ:(Examples:)

  • Để cài đặt ứng dụng với cài đặt mặc định: sysmon -i acceptteula (sysmon -i accepteula) không có dấu ngoặc kép [SHA1 mặc định]
  • Để cài đặt ứng dụng với cài đặt MD5 [SHA256]: sysmon -i acceptteula –h md5 -n (sysmon -i accepteula –h md5 -n)”  
  • Để gỡ cài đặt sysmon -u

System Monitor lưu trữ các sự kiện như ID sự kiện(Event IDs) ,

  • ID sự kiện 1(Event ID 1) : Được sử dụng để tạo quy trình,
  • ID sự kiện 2(Event ID 2) : Một Quy trình(Process) đã thay đổi thời gian tạo tệp với dấu thời gian và
  • ID sự kiện 3(Event ID 3) : Đối với kết nối mạng.

Công cụ sẽ tiếp tục chạy ở chế độ nền và sẽ ghi tất cả nhật ký sự kiện vào một thư mục. Sau khi cài đặt hoặc gỡ cài đặt, khởi động lại hệ thống không phải là tất cả.

Nó là một công cụ cần phải có cho tất cả các máy tính chạy trên Windows . Hãy lấy công cụ System Monitor từ here!

CẬP NHẬT(UPDATE) : Windows Sysinternals Sysmon hiện cũng ghi lại hoạt động của quá trình vào nhật ký sự kiện Windows để sử dụng bằng cách phát hiện sự cố và phân tích pháp y, bao gồm các sự kiện tải trình điều khiển và tải hình ảnh với thông tin chữ ký, báo cáo thuật toán băm có thể định cấu hình, bộ lọc linh hoạt để bao gồm và loại trừ các sự kiện và hỗ trợ để cung cấp cấu hình thông qua tệp cấu hình thay vì dòng lệnh. Nó cũng được phát hiện giả mạo quy trình phần mềm độc hại .



Hạnh Huyền

About the author

Tôi là nhà phát triển phần mềm miễn phí và là người ủng hộ Windows Vista / 7. Tôi đã viết hàng trăm bài báo về các chủ đề khác nhau liên quan đến hệ điều hành, bao gồm các mẹo và thủ thuật, hướng dẫn sửa chữa và các phương pháp hay nhất. Tôi cũng cung cấp các dịch vụ tư vấn liên quan đến văn phòng thông qua công ty của tôi, Dịch vụ Bộ phận Trợ giúp. Tôi hiểu sâu về cách hoạt động, các tính năng của Office 365 và cách sử dụng chúng hiệu quả nhất.


Related posts