Η Microsoft^(Microsoft) προσφέρει μια πληθώρα χρήσιμων εργαλείων για τους τελικούς χρήστες που μπορούν να χρησιμοποιηθούν για να τροποποιήσουν, να παίξουν, να αντιμετωπίσουν προβλήματα, να διαγνώσουν, να ασφαλίσουν ή να κάνουν οτιδήποτε με το λειτουργικό σύστημα Windows . Το Sysinternals ^{(Sysinternals)} System Monitor (Sysmon), είναι ένα τέτοιο εργαλείο που κυκλοφόρησε πρόσφατα σχεδιασμένο για υπολογιστή που βασίζεται σε Windows και συλλέγει όλα τα αρχεία καταγραφής συστήματος. Αυτά τα αρχεία καταγραφής είναι πολύ σημαντικά και ζωτικής σημασίας για την κατανόηση ζητημάτων που σχετίζονται με τα Windows^(Windows) . Μόλις εγκατασταθεί το Sysmon^(Sysmon) συνεχίζει να λειτουργεί στο παρασκήνιο ως αδρανές και μπορεί να επαναφέρεται στη ζωή όταν απαιτείται.

Sysmon System Monitor για Windows

Η βασική ροή εργασίας πίσω από το System Monitor^{(System Monitor)} είναι ότι αποθηκεύει πληροφορίες από τη Συλλογή συμβάντων των Windows^{(Windows Event Collection)} ( Προβολή συμβάντων^{(Event Viewer)} ) και τους πράκτορες πληροφοριών ασφαλείας^{(Security Information)} και διαχείρισης συμβάντων^{(Event Management)} ( SIEM ), όπως τα ^(SIEM)αναγνωριστικά^(IDs) διεργασιών , τα GUID^(GUIDs) , τα αρχεία καταγραφής κατακερματισμού SHA1 , MD5 ( SHA256 ). Αποθηκεύει όλα αυτά τα αρχεία στον φάκελο Applications and Services\logs\Microsoft\Windows\Sysmon\operational στα Windows 10/8/7/Vista και κάτω από την καταγραφή συμβάντων συστήματος^{( System event log)}  σε παλαιότερα λειτουργικά συστήματα Windows όπως τα ^(Windows)Windows XP.

Πώς να εγκαταστήσετε το System Monitor
^{(How to install System Monitor)}

• Κατεβάστε το Sysmon [^{(Download Sysmon [)} σύνδεσμος λήψης παρέχεται παρακάτω]
• Το ληφθέν αρχείο θα είναι σε μορφή zip. Αποσυμπιέστε το αρχείο χρησιμοποιώντας το προεπιλεγμένο πρόγραμμα εξαγωγής αρχείων των Windows ή δοκιμάστε τα Winrar , 7zip κ.λπ.
• Μόλις αποσυμπιεστεί το αρχείο, εκτελέστε το "Sysmon" αποδεχτείτε την EULA και πατήστε Επόμενο.
• Περιμένετε^(Wait) να ολοκληρωθεί η εγκατάσταση του System , Monitor , αυτό είναι όλο!

Πώς να χρησιμοποιήσετε το Sysmon^{(How to use Sysmon)}

Η γραμμή εντολών στο sysmon μπορεί να χρησιμοποιηθεί για την εγκατάσταση, την απεγκατάσταση, τον έλεγχο και την τροποποίηση της διαμόρφωσης του System Monitor:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Λίγες εντολές που πρέπει να κατανοήσει ο χρήστης είναι:^{(Few commands that user need to understand are:)}

– i: εγκατάσταση προγραμμάτων υπηρεσιών και προγραμμάτων οδήγησης

-n : αποθηκεύει αρχεία καταγραφής σύνδεσης δικτύου

-u : απεγκατάσταση προγραμμάτων υπηρεσιών και προγραμμάτων οδήγησης

-c : ενημερώνει το εγκατεστημένο πρόγραμμα οδήγησης sysmon στον υπολογιστή ή βοηθά στην απόρριψη των τρεχουσών διαθέσιμων ρυθμίσεων διαμόρφωσης

-h : Καθορίζει τον αλγόριθμο που εφαρμόζεται στο πρόγραμμα [από προεπιλογή εφαρμόζεται το SHA1 ]

Παραδείγματα:^(Examples:)

• Για να εγκαταστήσετε την εφαρμογή με προεπιλεγμένες ρυθμίσεις: “ sysmon -i accepteula ” χωρίς εισαγωγικά [SHA1 default]
• Για να εγκαταστήσετε την εφαρμογή με ρυθμίσεις MD5 [SHA256]: “ sysmon -i accepteula –h md5 -n ”  
• Για απεγκατάσταση του " sysmon -u "

Το System Monitor^{(System Monitor)} αποθηκεύει συμβάντα όπως Αναγνωριστικά συμβάντων^{(Event IDs)} ως

• Αναγνωριστικό συμβάντος 1^{(Event ID 1)} : Χρησιμοποιείται για τη δημιουργία διαδικασίας,
• Αναγνωριστικό συμβάντος 2^{(Event ID 2)} : Μια διαδικασία^(Process) άλλαξε έναν χρόνο δημιουργίας αρχείου με χρονική σήμανση και
• Αναγνωριστικό συμβάντος 3^{(Event ID 3)} : Για σύνδεση δικτύου.

Το εργαλείο θα συνεχίσει να λειτουργεί στο παρασκήνιο και θα γράψει όλα τα αρχεία καταγραφής συμβάντων σε έναν φάκελο. Μετά την εγκατάσταση ή την απεγκατάσταση, δεν απαιτείται επανεκκίνηση του συστήματος.

Είναι ένα απαραίτητο εργαλείο για όλους τους υπολογιστές που τρέχουν σε Windows . Πάρτε το εργαλείο System Monitor από here!

ΕΝΗΜΕΡΩΣΗ^(UPDATE) : Windows Sysinternals Το Sysmon καταγράφει τώρα επίσης τη δραστηριότητα διεργασίας στο αρχείο καταγραφής συμβάντων των Windows για χρήση από την ανίχνευση περιστατικών και την εγκληματολογική ανάλυση, περιλαμβάνει συμβάντα φόρτωσης προγράμματος οδήγησης και φόρτωσης εικόνας με πληροφορίες υπογραφής, διαμορφώσιμες αναφορές αλγορίθμου κατακερματισμού, ευέλικτα φίλτρα για συμπερίληψη και εξαίρεση συμβάντων και υποστήριξη για παροχή διαμόρφωσης μέσω ενός αρχείου διαμόρφωσης αντί της γραμμής εντολών. Επίσης, λαμβάνει ανίχνευση παραβίασης διεργασιών κακόβουλου λογισμικού .

Sysinternals Sysmon system monitor for Windows

Microsoft offers a plethora of useful tools for end-uѕers that can be used to tweak, play, troubleshoot, diаgnose, sеcurе, or do anything with the Windows operating system. Sysinternals System Monitor (Sysmon), is one such newly released tool designed for Windows-based computer which collects all system log files. These log files are very important and crucial to understand issues pertaining to Windows. Sysmon once installed keeps running in the background as dormant and can be brought back to life when required.

Sysmon System Monitor for Windows

The basic workflow behind System Monitor is that it stores information from Windows Event Collection (Event Viewer) and Security Information and Event Management (SIEM) agents like process IDs, GUIDs, SHA1, MD5 (SHA256) hash logs. It stores all these files under Applications and Services\logs\Microsoft\Windows\Sysmon\operational folder in Windows 10/8/7/Vista, and under System event log in older Windows operating systems like Windows XP.

How to install System Monitor

• Download Sysmon [download link provided below]
• The downloaded file will be in zip format. Unzip the file using windows default file extractor or try Winrar, 7zip etc.
• Once the file is unzipped, run “Sysmon” accept the EULA and hit Next.
• Wait for System, Monitor to complete installation, that’s all!

How to use Sysmon

The command line in sysmon can be used to install, uninstall, check and to tweak System Monitor’s configuration:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Few commands that user need to understand are:

–i: install service and driver programs

-n: stores network connection logs

-u: uninstall service and driver programs

-c: it updates the installed sysmon driver on the computer or helps to dump current configuration  settings available

-h: It specifies the algorithm applied to the program [by default SHA1 is applied]

Examples:

• To install the application with default settings: “sysmon -i accepteula” without quotes [SHA1 default]
• To install the application with MD5 [SHA256] settings: “sysmon -i accepteula –h md5 -n”  
• To uninstall “sysmon -u”

System Monitor stores events like Event IDs as,

• Event ID 1: Used for Process Creation,
• Event ID 2: A Process changed a file creation time with timestamp and
• Event ID 3: For Network Connection.

The tool will keep running in the background and will write all event logs into a folder. After install or uninstall a system reboot is not all required.

It is a must-have tool for all computers running on Windows. Go grab the System Monitor tool from here!

UPDATE: Windows Sysinternals Sysmon now also records process activity to the Windows event log for use by incident detection and forensic analysis, includes driver load and image load events with signature information, configurable hashing algorithm reporting, flexible filters for including and excluding events, and support for supplying configuration via a configuration file instead of the command line. It also gets malware process tampering detection.

Related posts

• Όρια φυσικής μνήμης σε αρχεία Crash Dump για Windows 10

• Πώς να χρησιμοποιήσετε το εργαλείο SysInternals Process Explorer για Windows 10

• Το Process Manager σάς επιτρέπει να μετράτε τους χρόνους επανεκκίνησης του υπολογιστή και πολλά άλλα

• Το RAMMap είναι ένα βοηθητικό πρόγραμμα ανάλυσης χρήσης μνήμης από τη Sysinternals

• Μοιραστείτε αρχεία με οποιονδήποτε με Send Anywhere για υπολογιστή με Windows

• Παρακολουθήστε ψηφιακή τηλεόραση και ακούστε ραδιόφωνο στα Windows 10 με το ProgDVB

• Πώς να καρφιτσώσετε οποιαδήποτε εφαρμογή στη γραμμή εργασιών στα Windows 11

• Διορθώστε το σφάλμα Windows Update 0x8e5e03fa στα Windows 10

• Επεξεργασία, Προσθήκη, Επαναφορά, Αφαίρεση στοιχείων από το Νέο μενού περιβάλλοντος στα Windows

• Το VirtualDJ είναι ένα δωρεάν λογισμικό εικονικού DJ για υπολογιστή με Windows

• Ενεργοποιήστε τις συνδέσεις δικτύου ενώ βρίσκεστε σε Σύγχρονη Αναμονή στα Windows 11/10

• Πώς να διορθώσετε το πρόβλημα σύγκρουσης υπογραφής δίσκου στα Windows 11/10

• Τι είναι ένα αρχείο PPS; Πώς να μετατρέψετε το PPS σε PDF στα Windows 11/10;

• Το Alt-Tab Terminator ενισχύει την προεπιλεγμένη λειτουργικότητα ALT-Tab των Windows

• Τα Windows δεν μπόρεσαν να εντοπίσουν το απαιτούμενο αρχείο εγκατάστασης boot.wim

• Πώς να απενεργοποιήσετε τις κλάσεις αφαιρούμενης αποθήκευσης και την πρόσβαση στα Windows 10

• Απόκρυψη της επιλογής Γραμμών εργαλείων στο μενού περιβάλλοντος της γραμμής εργασιών στα Windows 10

• Δημιουργία αντιγράφων ασφαλείας, μετακίνηση ή διαγραφή του PageFile.sys κατά τον τερματισμό λειτουργίας στα Windows 11/10

• Επεξεργαστές μενού περιβάλλοντος: Προσθήκη, κατάργηση στοιχείων μενού περιβάλλοντος στα Windows 11

• Πώς να εγκαταστήσετε το Drupal χρησιμοποιώντας WAMP στα Windows