Microsoft tilbyder et væld af nyttige værktøjer til slutbrugere, der kan bruges til at finjustere, afspille, fejlfinde, diagnosticere, sikre eller gøre noget med Windows -operativsystemet. Sysinternals System Monitor (Sysmon), er et sådant nyligt udgivet værktøj designet til Windows -baseret computer, som samler alle systemlogfiler. Disse logfiler er meget vigtige og afgørende for at forstå problemer, der vedrører Windows . Når først Sysmon^(Sysmon) er installeret, kører den i baggrunden som sovende og kan bringes tilbage til livet, når det er nødvendigt.

Sysmon System Monitor til Windows

Den grundlæggende arbejdsgang bag System Monitor er, at den gemmer information fra Windows Event Collection ( Event Viewer ) og Security Information and Event Management ( SIEM ) agenter som proces - id'er^(IDs) , GUID'er^(GUIDs) , SHA1 , MD5 ( SHA256 ) hashlogfiler. Det gemmer alle disse filer under Applications and Services\logs\Microsoft\Windows\Sysmon\operational mappe i Windows 10/8/7/Vista og under Systemhændelseslog^{( System event log)}  i ældre Windows -operativsystemer som Windows XP.

Sådan installeres System Monitor
^{(How to install System Monitor)}

• Download Sysmon [ downloadlink angivet nedenfor]
• Den downloadede fil vil være i zip-format. Pak filen ud ved hjælp af Windows standard filudtræk eller prøv Winrar , 7zip osv.
• Når filen er pakket ud, skal du køre "Sysmon" og acceptere EULA'en og trykke på Næste.
• Vent^(Wait) på System , Monitor for at fuldføre installationen, det er alt!

Sådan bruger du Sysmon^{(How to use Sysmon)}

Kommandolinjen i sysmon kan bruges til at installere, afinstallere, kontrollere og justere System Monitors konfiguration:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Nogle få kommandoer, som brugeren skal forstå, er:^{(Few commands that user need to understand are:)}

– i: installer service- og driverprogrammer

-n : gemmer logfiler for netværksforbindelse

-u : afinstaller service- og driverprogrammer

-c : det opdaterer den installerede sysmon-driver på computeren eller hjælper med at dumpe de aktuelle tilgængelige konfigurationsindstillinger

-h : Det specificerer algoritmen anvendt på programmet [som standard anvendes SHA1 ]

Eksempler:^(Examples:)

• For at installere applikationen med standardindstillinger: " sysmon -i accepteula " uden anførselstegn [SHA1 standard]
• For at installere applikationen med MD5 [SHA256] indstillinger: “ sysmon -i accepteula –h md5 -n ”  
• For at afinstallere " sysmon -u "

System Monitor gemmer hændelser som begivenheds-id'er^{(Event IDs)} som,

• Hændelses-id 1^{(Event ID 1)} : Bruges til procesoprettelse,
• Hændelses-ID 2^{(Event ID 2)} : En proces^(Process) ændrede et filoprettelsestidspunkt med tidsstempel og
• Hændelses-ID 3^{(Event ID 3)} : Til netværksforbindelse.

Værktøjet fortsætter med at køre i baggrunden og vil skrive alle hændelseslogfiler i en mappe. Efter installation eller afinstallation er en systemgenstart ikke alt nødvendig.

Det er et must-have værktøj til alle computere, der kører på Windows . Tag fat i System Monitor- værktøjet here!

OPDATERING^(UPDATE) : Windows Sysinternals Sysmon registrerer nu også procesaktivitet til Windows -hændelsesloggen til brug ved hændelsesdetektion og retsmedicinsk analyse, inkluderer driverindlæsning og billedindlæsningshændelser med signaturoplysninger, konfigurerbar hashing-algoritmerapportering, fleksible filtre til at inkludere og ekskludere hændelser og support til levering af konfiguration via en konfigurationsfil i stedet for kommandolinjen. Det får også opdagelse af manipulation af malware-processer .

Sysinternals Sysmon system monitor for Windows

Microsoft offers a plethora of useful tools for end-users that can be used to twеak, play, troubleshoot, diagnose, secure, or do anything with the Windows operating system. Sysinternals System Monitor (Sysmon), is one such newly released tool designed for Windows-based computer which collects all system log files. These log files are very important and crucial to understand issues pertaining to Windows. Sysmon once installed keeps running in the background as dormant and can be brought back to life when required.

Sysmon System Monitor for Windows

The basic workflow behind System Monitor is that it stores information from Windows Event Collection (Event Viewer) and Security Information and Event Management (SIEM) agents like process IDs, GUIDs, SHA1, MD5 (SHA256) hash logs. It stores all these files under Applications and Services\logs\Microsoft\Windows\Sysmon\operational folder in Windows 10/8/7/Vista, and under System event log in older Windows operating systems like Windows XP.

How to install System Monitor

• Download Sysmon [download link provided below]
• The downloaded file will be in zip format. Unzip the file using windows default file extractor or try Winrar, 7zip etc.
• Once the file is unzipped, run “Sysmon” accept the EULA and hit Next.
• Wait for System, Monitor to complete installation, that’s all!

How to use Sysmon

The command line in sysmon can be used to install, uninstall, check and to tweak System Monitor’s configuration:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Few commands that user need to understand are:

–i: install service and driver programs

-n: stores network connection logs

-u: uninstall service and driver programs

-c: it updates the installed sysmon driver on the computer or helps to dump current configuration  settings available

-h: It specifies the algorithm applied to the program [by default SHA1 is applied]

Examples:

• To install the application with default settings: “sysmon -i accepteula” without quotes [SHA1 default]
• To install the application with MD5 [SHA256] settings: “sysmon -i accepteula –h md5 -n”  
• To uninstall “sysmon -u”

System Monitor stores events like Event IDs as,

• Event ID 1: Used for Process Creation,
• Event ID 2: A Process changed a file creation time with timestamp and
• Event ID 3: For Network Connection.

The tool will keep running in the background and will write all event logs into a folder. After install or uninstall a system reboot is not all required.

It is a must-have tool for all computers running on Windows. Go grab the System Monitor tool from here!

UPDATE: Windows Sysinternals Sysmon now also records process activity to the Windows event log for use by incident detection and forensic analysis, includes driver load and image load events with signature information, configurable hashing algorithm reporting, flexible filters for including and excluding events, and support for supplying configuration via a configuration file instead of the command line. It also gets malware process tampering detection.

Related posts

• Fysiske hukommelsesgrænser i Crash Dump-filer til Windows 10

• Sådan bruger du SysInternals Process Explorer-værktøj til Windows 10

• Process Manager lader dig måle computergenstartstider og mere

• RAMMap er et værktøj til analyse af hukommelsesforbrug fra Sysinternals

• Del filer med alle med Send Anywhere til Windows PC

• PicsArt tilbyder brugerdefinerede klistermærker og eksklusiv 3D-redigering på Windows 10

• Sådan installeres Drupal ved hjælp af WAMP på Windows

• Windows kunne ikke finde den nødvendige installationsfil boot.wim

• Sådan deaktiveres sikkerhedsforanstaltninger for funktionsopdateringer på Windows 10

• Aktiver netværksforbindelser, mens du er i moderne standby på Windows 11/10

• Sådan bruger du Charmap og Eudcedit indbyggede værktøjer i Windows 11/10

• Synkroniseringsindstillinger fungerer ikke eller er nedtonede i Windows 11/10

• Alt-Tab Terminator forbedrer standard Windows ALT-Tab-funktionaliteten

• Bedste gratis ISO Mounter-software til Windows 11/10

• Hvad er Enablement Package i Windows 10

• Microsoft Intune synkroniserer ikke? Tving Intune til at synkronisere i Windows 11/10

• Context Menu Editors: Tilføj, fjern Context Menu-elementer i Windows 11

• Sådan bytter du harddiskdrev i Windows 11/10 med Hot Swap

• Sådan installeres NumPy ved hjælp af PIP på Windows 10

• Hvad er Windows.edb-filen i Windows 11/10