Microsoft は、Windows オペレーティング システムの調整、再生、トラブルシューティング、診断、セキュリティ保護など、あらゆる操作に使用できる便利なツールをエンド ユーザー向けに多数提供しています。シスインターナル システムモニター(Sysmon)、は、すべてのシステム ログ ファイルを収集する、Windows ベースのコンピュータ用に設計された新しくリリースされたツールの 1 つです。これらのログ ファイルは非常に重要であり、Windows の問題を理解する上で不可欠です。 Sysmon は、一度インストールされると、バックグラウンドで休止状態として実行され続け、必要に応じて復活させることができます。
Windows 用 Sysmon システム モニター
システム モニターの基本的なワークフローは、Windows イベント収集 (イベント ビューアー) およびセキュリティ情報およびイベント管理 (SIEM) エージェントからの情報 (プロセス ID、GUID、SHA1、MD5 (SHA256) ハッシュ ログなど) を保存することです。これらすべてのファイルは以下に保存されますアプリケーションとサービス\ログ\Microsoft\Windows\Sysmon\operationalWindows のフォルダー。
システムモニターのインストール方法
- Sysmon をダウンロード [以下にダウンロード リンクが提供されています]
- ダウンロードしたファイルはzip形式になります。 Windows のデフォルトのファイル抽出ツールを使用してファイルを解凍するか、Winrar、7zip などを試してください。
- ファイルが解凍されたら、実行します「シスモン」EULA に同意し、「次へ」をクリックします。
- システムとモニターのインストールが完了するまで待ちます。これですべてです。
シズモンの使い方
sysmon のコマンド ラインを使用して、システム モニターの構成をインストール、アンインストール、確認し、調整することができます。
Install: Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]
Configure: Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]
Uninstall: Sysmon.exe –u
ユーザーが理解する必要があるコマンドは次のとおりです。
–私:サービスとドライバー プログラムをインストールする
-n: ネットワーク接続ログを保存します
-u: サービスおよびドライバー プログラムをアンインストールします
-c: コンピューターにインストールされている sysmon ドライバーを更新するか、使用可能な現在の構成設定をダンプするのに役立ちます。
-h: プログラムに適用されるアルゴリズムを指定します [デフォルトでは SHA1 が適用されます]
例:
- デフォルト設定でアプリケーションをインストールするには:「sysmon -i accepteula」引用符なし [SHA1 デフォルト]
- MD5 [SHA256] 設定を使用してアプリケーションをインストールするには:「sysmon -i accepteula –h md5 -n」
- アンインストールするには「シズモン -u」
システム モニターは、イベント ID などのイベントを次のように保存します。
- イベントID 1: プロセスの作成に使用されます。
- イベントID 2: プロセスはタイムスタンプとファイル作成時刻を変更しました。
- イベントID 3: ネットワーク接続用。
ツールはバックグラウンドで実行され続け、すべてのイベント ログがフォルダーに書き込まれます。インストールまたはアンインストール後にシステムを再起動する必要はありません。
これは、Windows 上で実行されているすべてのコンピュータに必須のツールです。システム モニター ツールを入手します。ここ!
アップデート:Windows システム内部また、Sysmon は、インシデント検出やフォレンジック分析で使用するために、プロセス アクティビティを Windows イベント ログに記録するようになりました。これには、署名情報を含むドライバー ロード イベントとイメージ ロード イベント、構成可能なハッシュ アルゴリズム レポート、イベントを含めたり除外したりするための柔軟なフィルター、および構成の提供のサポートが含まれます。コマンドラインの代わりに設定ファイルを使用します。それもマルウェアプロセスの改ざん検出を取得します。
