Sysmon 5是流行的Windows監視程序的最新版本，該程序將活動寫入Windows事件日志。

Sysmon代表系統監視器，是后臺監視器。這意味著安裝后無需用戶交互或圖形用戶界面即可完成工作。

實際上，安裝它所要做的就是從命令行運行一個簡短的命令來安裝監視服務。

這是通過以下方法完成的：敲擊Windows鍵，鍵入cmd.exe，在按Enter鍵之前按住Shift鍵和Ctrl鍵，然后在Sysmon程序目錄中鍵入sysmon -accepteula -i。

提示：要再次卸載Sysmon，請再次運行該操作，但這一次使用sysmon -u命令。

該程序直接記錄到Windows事件日志中，這意味著您需要使用本機查看器或第三方程序(例如“ 事件日志資源管理器”)將其打開以訪問數據。

Sysmon 5跟蹤的所有事件都存儲在事件日志中的應用程序和服務日志/ Microsoft / Windows / Sysmon / Operational中。

sysmon事件查看器

應用程序跟蹤以下事件：

事件1：進程創建-在該事件ID下列出了系統上創建的任何新進程。

事件2：文件創建時間更改。

事件3：網絡連接-默認情況下處于禁用狀態。要啟用它，請使用參數-n運行install命令。

事件4：Sysmon服務狀態更改。

事件5：進程終止。

事件6：驅動程序已加載。

事件7：圖像已加載。默認情況下禁用。要啟用它，請使用參數-l運行install命令。

事件8：創建遠程線程-記錄某個進程在另一個進程中創建線程的時間。

事件9：原始訪問讀取-記錄進程何時使用\\和\從驅動器讀取操作。

事件10：進程訪問-記錄某個進程打開另一個進程的時間。

事件11：文件創建。

事件12：注冊表事件(對象創建和刪除)-記錄進程創建或刪除注冊表對象的時間。

事件13：注冊表事件(值集)-記錄進程在注冊表中設置值的時間。

事件14：注冊表事件(鍵和值重命名)-記錄注冊表鍵或值重命名的時間。

事件15：文件創建流哈希-記錄創建文件流的時間。

事件255：錯誤。

支持過濾，這意味著您可以使用事件過濾來過濾您感興趣的特定事件。

新的Sysmon 5引入了新的監視選項，用于記錄文件創建和注冊表修改事件。

Sysmon的主要更新是一個后臺監視器，該監視器將事件記錄到事件日志中以用于安全事件檢測和取證，它引入了文件創建和注冊表修改日志記錄。這些事件類型使配置過濾器成為可能，該過濾器捕獲對關鍵系統配置的更新以及對惡意軟件使用的自動啟動入口點的更改。

結束語

Sysmon 5通過將注冊表修改和文件創建事件引入日志記錄功能來進一步改進了本已不錯的程序。由于沒有其他更改，因此可以毫無疑問地將程序的現有副本升級到最新版本，以從其他事件記錄選項中受益。