Microsoft ofrece una gran cantidad de herramientas útiles para los usuarios finales que se pueden utilizar para ajustar, reproducir, solucionar problemas, diagnosticar, proteger o hacer cualquier cosa con el sistema operativo Windows. Sysinternals System Monitor (Sysmon), es una de las nuevas herramientas diseñadas para ordenadores con Windows que recoge todos los archivos de registro del sistema. Estos archivos de registro son muy importantes y cruciales para entender los problemas relacionados con Windows. Una vez instalado, Sysmon sigue funcionando en segundo plano como inactivo y puede volver a funcionar cuando sea necesario.
Monitor de sistema Sysmon para Windows
El flujo de trabajo básico detrás de System Monitor es que almacena información de los agentes de Windows Event Collection (Event Viewer) y Security Information and Event Management (SIEM) como IDs de proceso, GUIDs, SHA1, MD5 (SHA256) hash logs. Almacena todos estos archivos bajo Applications and Services{logs\MicrosoftWindows\Sysmon\operational en Windows Vista y sistemas operativos superiores como Windows 8 y Windows 7, y bajo System event log en sistemas operativos Windows antiguos como Windows XP.
Cómo instalar System Monitor
- Descargar Sysmon[enlace de descarga más abajo]
- El archivo descargado estará en formato zip. Descomprima el archivo usando el extractor de archivos predeterminado de Windows o pruebe Winrar, 7zip, etc.
- Una vez descomprimido el archivo, ejecute «Sysmon» , acepte el EULA y pulse Siguiente.
- Espere a que el sistema y el monitor completen la instalación, ¡eso es todo!
Cómo usar Sysmon
La línea de comandos de sysmon puede utilizarse para instalar, desinstalar, comprobar y modificar la configuración del System Monitor:
Instalar: Sysmon.exe -i[-h[sha1|md5|sha256]]] [-n]
Configurar: Sysmon.exe -c [[-h[-h[sha1|md5|sha256]]] [-n]|–]
Desinstalar: Sysmon.exe -u
Pocos comandos que el usuario necesita entender son:
– i: instalar programas de servicio y controladores
-n : almacena los registros de conexión de red
-u : desinstalar programas de servicio y controladores
-c : actualiza el controlador sysmon instalado en el ordenador o ayuda a volcar los ajustes de configuración actuales disponibles
-h : Especifica el algoritmo aplicado al programa[por defecto se aplica SHA1]
Ejemplos:
- Para instalar la aplicación con la configuración predeterminada: « sysmon -i accepteula « sin comillas[SHA1 default]
- Para instalar la aplicación con los ajustes de MD5[SHA256]: « sysmon -i accepteula -h md5 -n «
- Para desinstalar « sysmon -u «
El Monitor de Sistema almacena eventos como Event IDs como,
- Event ID 1 : Usado para la creación de procesos,
- Event ID 2 : Un proceso cambió la hora de creación de un archivo con la marca de tiempo y
- Event ID 3 : Para conexión de red.
La herramienta seguirá funcionando en segundo plano y escribirá todos los registros de eventos en una carpeta. Después de la instalación o desinstalación, no es necesario reiniciar el sistema.
Es una herramienta imprescindible para todos los equipos que se ejecutan en Windows. Ve a buscar la herramienta System Monitor de aquí!
UPDATE : Microsoft Sysinternals Sysmon ahora también registra la actividad del proceso en el registro de eventos de Windows para su uso mediante la detección de incidentes y el análisis forense, incluye la carga de controladores y los eventos de carga de imágenes con información de firmas, informes de algoritmos de hash configurables, filtros flexibles para incluir y excluir eventos, y compatibilidad con el suministro de configuración a través de un archivo de configuración en lugar de la línea de comandos.
Contenido Relacionado
[pt_view id=»1047b4eroy»]