Sysmon एक आधिकारिक Microsoft ऐप है जो सिस्टम की स्थिति और घटनाओं की निगरानी करता है। इसके साथ, आप सिस्टम की घटनाओं का विस्तृत नियंत्रण रख सकते हैं, जैसे कि प्रक्रिया निर्माण, नेटवर्क कनेक्शन, फाइल निर्माण और हटाने आदि।
प्रोग्राम कमांड लाइन के माध्यम से स्थापित किया जाता है। इसे स्थापित करने के लिए, आपको उस पथ पर CMD.exe को व्यवस्थापक के रूप में खोलना होगा जहाँ आपने प्रोग्राम स्थापित किया है। उसके बाद, प्रोग्राम स्थापित करने के लिए sysmon -i कमांड दर्ज करें।
इसके बाद, Windows इवेंट व्यूअर का उपयोग करें। फिर Applications and Services Logs/Microsoft/Windows/Sysmon/Operational पथ पर जाएं। वहां, आप सिस्टम पर हो रही सभी घटनाओं को देख सकते हैं। वे प्रक्रिया घटनाएँ जिनको प्रोग्राम रिकॉर्ड करने में सक्षम है, वे निम्नलिखित हैं:
1 ProcessCreate - निर्माण प्रक्रिया
2 FileCreateTime - फाइल निर्माण समय
3 NetworkConnect - नेटवर्क कनेक्शन देखा गया
4 बदली गई Sysmon सेवा स्थिति (फिल्टर नहीं किया जा सकता)
5 ProcessTerminate - प्रक्रिया समाप्त
6 DriverLoad - ड्राइवर लोड किया गया
7 ImageLoad - इमेज अपलोड किया गया
8 CreateRemoteThread - CreateRemoteThread का पता चला
9 RawAccessRead - RawAccessRead का पता चला
10 ProcessAccess - प्रक्रिया को एक्सेस किया गया
11 FileCreate - फाइल बनाई गई
12 RegistryEvent - रजिस्ट्री ऑब्जेक्ट जोड़ा गया या हटाया गया
13 RegistryEvent - रजिस्ट्री मान सेट किया गया
14 RegistryEvent - रजिस्ट्री ऑब्जेक्ट का नाम बदला गया
15 FileCreateStreamHash - फाइल स्ट्रीम हैश बनाया गया
16 Sysmon सेटिंग्स बदली गई (फिल्टर नहीं किया जा सकता)
17 PipeEvent - नामित पाइपलाइन बनाई गई
18 PipeEvent - नामित पाइपलाइन से जुड़ा हुआ
19 WmiEvent - WMI फ़िल्टर
20 WmiEvent - WMI कंज्यूमर
21 WmiEvent - WMI कंज्यूमर फ़िल्टर
22 DNSQuery - DNS क्वेरी किया गया
23 FileDelete - संग्रहीत फाइल्स हटाई गई
24 ClipboardChange - क्लिपबोर्ड में नई सामग्री जोड़ी गई
25 ProcessTampering - प्रक्रिया छवि बदली गई
26 FileDeleteDetected - रिकॉर्ड की गई फाइल हटाई गई
कॉमेंट्स
Sysmon के बारे में अभी तक कोई राय नहीं है। पहले व्यक्ति बनो! टिप्पणी