Phenquestions
Microsoft menawarkan sejumlah besar alat yang berguna untuk pengguna akhir yang dapat digunakan untuk mengubah, memutar, memecahkan masalah, mendiagnosis, mengamankan, atau melakukan apa pun dengan sistem operasi Windows. Sysinternals Monitor Sistem (Sysmon), adalah salah satu alat yang baru dirilis yang dirancang untuk komputer berbasis Windows yang mengumpulkan semua file log sistem. File log ini sangat penting dan krusial untuk memahami masalah yang berkaitan dengan Windows. Sysmon setelah diinstal tetap berjalan di latar belakang sebagai tidak aktif dan dapat dihidupkan kembali saat diperlukan.
Monitor Sistem Sysmon untuk Windows
Alur kerja dasar di balik System Monitor adalah menyimpan informasi dari Windows Event Collection (Event Viewer) dan agen Security Information and Event Management (SIEM) seperti ID proses, GUID, log hash SHA1, MD5 (SHA256). Ini menyimpan semua file ini di bawah Aplikasi dan Layanan\logs\Microsoft\Windows\Sysmon\operasional folder di Windows 10/8/7/Vista, dan di bawah Log peristiwa sistem di sistem operasi Windows lama seperti Windows XP.
Cara menginstal Monitor Sistem System
- Unduh Sysmon [tautan unduhan disediakan di bawah]
- File yang diunduh akan dalam format zip. Buka zip file menggunakan ekstraktor file default windows atau coba Winrar, 7zip dll.
- Setelah file dibuka ritsletingnya, jalankan “Simon” terima EULA dan tekan Next.
- Tunggu Sistem, Monitor untuk menyelesaikan instalasi, itu saja!
Cara menggunakan Sysmon
Baris perintah di sysmon dapat digunakan untuk menginstal, menghapus instalasi, memeriksa dan mengubah konfigurasi Monitor Sistem:
Instal: Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]
Konfigurasikan: Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]
Copot pemasangan: Sysmon.exe -u
Beberapa perintah yang perlu dipahami pengguna adalah:
-saya: instal program layanan dan driver
-tidak: menyimpan log koneksi jaringan
-kamu: hapus instalan program layanan dan driver
-c: itu memperbarui driver sysmon yang diinstal di komputer atau membantu membuang konfigurasi saat ini setelan yang tersedia
-h: Ini menentukan algoritme yang diterapkan ke program [secara default SHA1 diterapkan]
Contoh:
- Untuk menginstal aplikasi dengan pengaturan default: “sysmon -i accepteula” tanpa tanda kutip [SHA1 default]
- Untuk menginstal aplikasi dengan pengaturan MD5 [SHA256]: “sysmon -i accepteula -h md5 -n”
- Untuk mencopot pemasangan “sysmon -u”
Monitor Sistem menyimpan acara seperti ID Peristiwa sebagai,
- ID Acara 1: Digunakan untuk Pembuatan Proses,
- ID Acara 2: Proses mengubah waktu pembuatan file dengan stempel waktu dan
- ID Acara 3: Untuk Koneksi Jaringan.
Alat ini akan terus berjalan di latar belakang dan akan menulis semua log peristiwa ke dalam folder. Setelah menginstal atau mencopot pemasangan, tidak semuanya diperlukan reboot sistem.
Ini adalah alat yang harus dimiliki untuk semua komputer yang berjalan di Windows. Ambil alat Monitor Sistem dari sini!
MEMPERBARUI: Windows Sysinternals Sysmon sekarang juga merekam aktivitas proses ke log peristiwa Windows untuk digunakan oleh deteksi insiden dan analisis forensik, termasuk pemuatan driver dan peristiwa pemuatan gambar dengan informasi tanda tangan, pelaporan algoritme hashing yang dapat dikonfigurasi, filter fleksibel untuk menyertakan dan mengecualikan peristiwa, dan dukungan untuk menyediakan konfigurasi melalui file konfigurasi alih-alih baris perintah. Itu juga mendapat deteksi gangguan proses malware.
