Microsoft erbjuder en uppsjö av användbara verktyg för slutanvändare som kan användas för att justera, spela, felsöka, diagnostisera, säkra eller göra vad som helst med Windows - operativsystemet. Sysinternals System Monitor (Sysmon), är ett sådant nysläppt verktyg designat för Windows -baserad dator som samlar in alla systemloggfiler. Dessa loggfiler är mycket viktiga och avgörande för att förstå problem som rör Windows . När Sysmon väl har^(Sysmon) installerats fortsätter den att köras i bakgrunden som vilande och kan återupplivas vid behov.

Sysmon System Monitor för Windows

Det grundläggande arbetsflödet bakom System Monitor är att den lagrar information från Windows Event Collection ( Event Viewer ) och Security Information and Event Management ( SIEM ) agenter som process - ID^(IDs) , GUID^(GUIDs) , SHA1 , MD5 ( SHA256 ) hashloggar. Den lagrar alla dessa filer under Applications and Services\logs\Microsoft\Windows\Sysmon\operational -mappen i Windows 10/8/7/Vista , och under Systemhändelselogg^{( System event log)}  i äldre Windows -operativsystem som Windows XP.

Hur man installerar System Monitor
^{(How to install System Monitor)}

• Ladda ner Sysmon [^{(Download Sysmon [)} nedladdningslänk finns nedan]
• Den nedladdade filen kommer att vara i zip-format. Packa upp filen med Windows standardfilextraktor eller prova Winrar , 7zip etc.
• När filen har packats upp, kör "Sysmon" acceptera EULA och tryck på Nästa.
• Vänta^(Wait) på System , Monitor för att slutföra installationen, det är allt!

Hur man använder Sysmon^{(How to use Sysmon)}

Kommandoraden i sysmon kan användas för att installera, avinstallera, kontrollera och för att justera System Monitors konfiguration:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Några kommandon som användaren behöver förstå är:^{(Few commands that user need to understand are:)}

– i: installera service- och drivrutinsprogram

-n : lagrar nätverksanslutningsloggar

-u : avinstallera service- och drivrutinsprogram

-c : det uppdaterar den installerade sysmon-drivrutinen på datorn eller hjälper till att dumpa aktuella tillgängliga konfigurationsinställningar

-h : Den anger algoritmen som tillämpas på programmet [som standard tillämpas SHA1 ]

Exempel:^(Examples:)

• För att installera programmet med standardinställningar: " sysmon -i accepteula " utan citattecken [SHA1 standard]
• För att installera applikationen med MD5 [SHA256]-inställningar: “ sysmon -i accepteula –h md5 -n ”  
• För att avinstallera " sysmon -u "

System Monitor lagrar händelser som händelse-ID:n^{(Event IDs)} som,

• Händelse-ID 1^{(Event ID 1)} : Används för att skapa processer,
• Händelse-ID 2^{(Event ID 2)} : En process ändrade en filskapande tid med tidsstämpel och
• Händelse-ID 3^{(Event ID 3)} : För nätverksanslutning.

Verktyget fortsätter att köras i bakgrunden och kommer att skriva alla händelseloggar till en mapp. Efter installation eller avinstallation krävs inte en omstart av systemet.

Det är ett måste-verktyg för alla datorer som körs på Windows . Ta tag i System Monitor- verktyget here!

UPPDATERING^(UPDATE) : Windows Sysinternals Sysmon registrerar nu också processaktivitet till Windows - händelseloggen för användning av incidentdetektering och kriminalteknisk analys, inkluderar drivrutinsladdning och bildladdningshändelser med signaturinformation, konfigurerbar hashalgoritmrapportering, flexibla filter för att inkludera och exkludera händelser och support för att tillhandahålla konfiguration via en konfigurationsfil istället för kommandoraden. Det får också upptäckt av skadlig programvara manipulering .

Sysinternals Sysmon system monitor for Windows

Microsoft offers a plethorа of useful tools for end-users that can be υsed to tweak, play, troubleshoot, diagnose, secure, оr do anything with the Windоws operating system. Sysinternals System Monitor (Sysmon), is one such newly released tool designed for Windows-based computer which collects all system log files. These log files are very important and crucial to understand issues pertaining to Windows. Sysmon once installed keeps running in the background as dormant and can be brought back to life when required.

Sysmon System Monitor for Windows

The basic workflow behind System Monitor is that it stores information from Windows Event Collection (Event Viewer) and Security Information and Event Management (SIEM) agents like process IDs, GUIDs, SHA1, MD5 (SHA256) hash logs. It stores all these files under Applications and Services\logs\Microsoft\Windows\Sysmon\operational folder in Windows 10/8/7/Vista, and under System event log in older Windows operating systems like Windows XP.

How to install System Monitor

• Download Sysmon [download link provided below]
• The downloaded file will be in zip format. Unzip the file using windows default file extractor or try Winrar, 7zip etc.
• Once the file is unzipped, run “Sysmon” accept the EULA and hit Next.
• Wait for System, Monitor to complete installation, that’s all!

How to use Sysmon

The command line in sysmon can be used to install, uninstall, check and to tweak System Monitor’s configuration:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Few commands that user need to understand are:

–i: install service and driver programs

-n: stores network connection logs

-u: uninstall service and driver programs

-c: it updates the installed sysmon driver on the computer or helps to dump current configuration  settings available

-h: It specifies the algorithm applied to the program [by default SHA1 is applied]

Examples:

• To install the application with default settings: “sysmon -i accepteula” without quotes [SHA1 default]
• To install the application with MD5 [SHA256] settings: “sysmon -i accepteula –h md5 -n”  
• To uninstall “sysmon -u”

System Monitor stores events like Event IDs as,

• Event ID 1: Used for Process Creation,
• Event ID 2: A Process changed a file creation time with timestamp and
• Event ID 3: For Network Connection.

The tool will keep running in the background and will write all event logs into a folder. After install or uninstall a system reboot is not all required.

It is a must-have tool for all computers running on Windows. Go grab the System Monitor tool from here!

UPDATE: Windows Sysinternals Sysmon now also records process activity to the Windows event log for use by incident detection and forensic analysis, includes driver load and image load events with signature information, configurable hashing algorithm reporting, flexible filters for including and excluding events, and support for supplying configuration via a configuration file instead of the command line. It also gets malware process tampering detection.

Related posts

• Fysiska minnesgränser i Crash Dump-filer för Windows 10

• Hur man använder SysInternals Process Explorer-verktyget för Windows 10

• Process Manager låter dig mäta datorns omstartstider och mer

• RAMMap är ett verktyg för analys av minnesanvändning från Sysinternals

• Dela filer med vem som helst med Send Anywhere för Windows PC

• Vad är Windows.edb-filen i Windows 11/10

• Så här inaktiverar du flyttbara lagringsklasser och åtkomst i Windows 10

• Windows kunde inte hitta den nödvändiga installationsfilen boot.wim

• Windows har fastnat på välkomstskärmen

• Hur man använder Charmap och Eudcedit inbyggda verktyg i Windows 11/10

• Titta på digital-tv och lyssna på radio i Windows 10 med ProgDVB

• Synkroniseringsinställningar fungerar inte eller är nedtonade i Windows 11/10

• Aktivitetsfältsmeddelanden visas inte i Windows 11/10

• Vad är Enablement Package i Windows 10

• Fixa Crypt32.dll inte hittades eller saknas fel i Windows 11/10

• Gratis Anti-Ransomware-programvara för Windows-datorer

• Åtgärda Windows Update-fel 0x8e5e03fa på Windows 10

• Bästa gratis schemaprogramvara för Windows 11/10

• Hur man ändrar aktivitetsfältets storlek i Windows 11

• Bästa gratis mjukvara för ISO Mounter för Windows 11/10