Хотя Windows располагает собственными средствами мониторинга процессов, системные администраторы и опытные пользователи часто предпочитают сторонние инструменты, в частности утилиту Sysmon. Ранее она входила исключительно в пакет Sysinternals и требовала отдельной загрузки и ручной установки. В последних версиях Windows 11 ситуация изменилась: в феврале этого года Sysmon была интегрирована прямо в операционную систему.
Как ее активировать, читайте в этом руководстве.
Что такое Sysmon
Как инструмент, Sysmon представляет собой гибрид системной службы и драйвера, предназначенных для отслеживания событий, в том числе на уровне ядра.
Благодаря этому Sysmon работает гораздо эффективнее встроенного Журнала событий.
Утилита умеет:
- Отслеживать процессы с момента их запуска до завершения.
- Вычислять хэши исполняемых файлов.
- Отслеживать сетевой трафик (IP-адрес, порт, имя хоста, длительность сессии и др.).
- Отслеживать изменения в ключевых разделах реестра.
- Мониторить буфер обмена.
- Контролировать работу драйверов.
- Создавать резервные копии файлов.
- Устанавливать связи типа «родитель–потомок», позволяющие определить, какая программа запустила другую.
Как включить Sysmon
В новых версиях Windows 11 Sysmon по умолчанию отключён.
Активировать его можно через графический интерфейс, предварительно удалив старую версию Sysmon, если она была установлена вручную.
Откройте оснастку «Компоненты Windows» командой optionalfeatures в окошке «Выполнить» (Win + R).
Найдите в списке Sysmon, отметьте его флажком и сохраните изменения.
После этого запустите командную строку от имени администратора и выполните команду:
sysmon -i
Где Sysmon хранит результаты отслеживания?
В отличие от утилит типа RegFromApp, Sysmon не сигнализирует при каждом обнаруженном изменении.
Она работает как регистратор в «тихом» режиме, сохраняя результаты мониторинга в раздел системного журнала событий: Журналы приложений и служб → Microsoft — Windows — Sysmon — Operational.
Если вы хотите отслеживать изменения в режиме реального времени, придется использовать сторонние скрипты.
По умолчанию утилита регистрирует ограниченное количество типов событий, преимущественно с кодами 1 и 5, соответствующими запуску и завершению процесса.
Круг мониторинга можно расширить, но для этого необходимо внести изменения в конфигурационный файл Sysmon.
Как это сделать, мы покажем в следующем материале.
