مراقب نظام Sysinternals Sysmon لنظام التشغيل Windows

تقدم Microsoft(Microsoft) عددًا كبيرًا من الأدوات المفيدة للمستخدمين النهائيين التي يمكن استخدامها للتعديل أو التشغيل أو استكشاف الأخطاء وإصلاحها أو التشخيص أو التأمين أو القيام بأي شيء باستخدام نظام التشغيل Windows . Sysinternals System Monitor (Sysmon) ، هو أحد هذه الأدوات التي تم إصدارها حديثًا والمصممة لأجهزة الكمبيوتر التي تعمل بنظام Windows(Windows) والتي تجمع جميع ملفات سجل النظام. تعتبر ملفات السجل هذه مهمة جدًا وحاسمة لفهم المشكلات المتعلقة بنظام Windows(Windows) . بمجرد تثبيت Sysmon(Sysmon) يستمر في العمل في الخلفية كما هو نائم ويمكن إعادته إلى الحياة عند الحاجة.

مراقب نظام Sysmon لنظام التشغيل Windows

سير العمل الأساسي وراء System Monitor هو أنه يخزن المعلومات من Windows Event Collection ( Event Viewer ) ووكلاء إدارة الأحداث(Event Management) ومعلومات الأمان(Security Information) ( SIEM ) مثل معرّفات(IDs) العمليات ، GUIDs ، SHA1 ، MD5 ( SHA256 ) سجلات التجزئة. يقوم بتخزين كل هذه الملفات ضمن Applications and Services\logs\Microsoft\Windows\Sysmon\operational folder في Windows 10/8/7/Vista ، وتحت سجل أحداث النظام في أنظمة تشغيل ( System event log)Windows  الأقدم مثل Windows XP.

مراقب نظام Sysmon لنظام التشغيل Windows

كيفية تثبيت مراقب النظام
(How to install System Monitor)

  • قم بتنزيل Sysmon [(Download Sysmon [) رابط التنزيل أدناه]
  • سيكون الملف الذي تم تنزيله بتنسيق مضغوط. قم بفك ضغط الملف باستخدام مستخرج ملفات Windows الافتراضي أو جرب Winrar و 7zip وما إلى ذلك.
  • بمجرد فك ضغط الملف ، قم بتشغيل "Sysmon" واقبل اتفاقية ترخيص المستخدم النهائي واضغط على التالي.
  • انتظر(Wait) حتى يكمل النظام(System) ، مراقب(Monitor) التثبيت ، هذا كل ما في الأمر!

كيفية استخدام Sysmon(How to use Sysmon)

يمكن استخدام سطر الأوامر في sysmon للتثبيت ، وإلغاء التثبيت ، والتحقق من تكوينه وتعديله:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]
Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]
Uninstall:  Sysmon.exe –u

بعض الأوامر التي يحتاج المستخدم إلى فهمها هي:(Few commands that user need to understand are:)

- i: تثبيت برامج الخدمة والسائق

-n : تخزين سجلات اتصال الشبكة

-u : إلغاء تثبيت برامج الخدمة والسائق

-c : يقوم بتحديث برنامج تشغيل sysmon المثبت على الكمبيوتر أو يساعد في تفريغ إعدادات التكوين الحالية المتاحة

-h : تحدد الخوارزمية المطبقة على البرنامج [افتراضيًا يتم تطبيق SHA1 ]

أمثلة:(Examples:)

  • لتثبيت التطبيق بالإعدادات الافتراضية: " sysmon -i Accepteula " بدون علامات الاقتباس [SHA1 افتراضي]
  • لتثبيت التطبيق بإعدادات MD5 [SHA256]: " sysmon -i Accepteula –h md5 -n "  
  • لإلغاء تثبيت " sysmon -u "

(System Monitor)يخزن مراقب النظام الأحداث مثل معرفات الأحداث(Event IDs) مثل ،

  • معرّف الحدث 1(Event ID 1) : يُستخدم لإنشاء العملية ،
  • معرّف الحدث 2(Event ID 2) : قامت عملية(Process) بتغيير وقت إنشاء الملف باستخدام الطابع الزمني و
  • معرف الحدث 3(Event ID 3) : لاتصال الشبكة.

ستستمر الأداة في العمل في الخلفية وستكتب جميع سجلات الأحداث في مجلد. بعد التثبيت أو إلغاء التثبيت ، لا يلزم إعادة تشغيل النظام بالكامل.

إنها أداة ضرورية لجميع أجهزة الكمبيوتر التي تعمل على Windows . اذهب واحصل على أداة System Monitor من (System Monitor)here!

تحديث(UPDATE) : يسجل Windows Sysinternals Sysmon الآن أيضًا نشاط العملية في سجل أحداث Windows للاستخدام عن طريق الكشف عن الحوادث والتحليل الجنائي ، ويتضمن تحميل برنامج التشغيل وأحداث تحميل الصور مع معلومات التوقيع ، وتقارير خوارزمية التجزئة القابلة للتكوين ، والمرشحات المرنة لتضمين الأحداث واستبعادها ، والدعم لتوفير التكوين عبر ملف التكوين بدلاً من سطر الأوامر. كما أنه يحصل على عملية كشف العبث بالبرامج الضارة .



بلقيس كناني

About the author

"أنا خبير مستقل في Windows و Office. لدي أكثر من 10 سنوات من الخبرة في العمل باستخدام هذه الأدوات ويمكنني مساعدتك في تحقيق أقصى استفادة منها. تشمل مهاراتي: العمل مع Microsoft Word و Excel و PowerPoint و Outlook ؛ إنشاء الويب الصفحات والتطبيقات ؛ ومساعدة العملاء على تحقيق أهداف أعمالهم. "


Related posts