转载请注明出处:https://www.cnblogs.com/vitalemontea/p/16178048.html

1、前言

最近态势感知爆了某个同事有挖矿事件的告警,打开一看,就是会通过dns去解析币商域名,但是查不到是哪个进程导致的,一度非常尴尬……

于是开启搜集资料解决问题的道路……最开始是考虑过用脚本解决的,但是因为还没搞过所以成本较高……最后……意外发现了sysmon这个工具!

2、Sysmon介绍

Sysmon是微软提供的系统事件记录工具,能够记录进程、网络、文件等行为,可以在事件查看器中查看结果,通过规则文件控制要采集的内容。

关键词:微软提供   #来源相对安全

参考资料:

https://blog.csdn.net/travelnight/article/details/123018881

https://www.4hou.com/posts/P5L6

https://segmentfault.com/a/1190000022927801

3、使用方法

通过管理员权限打开cmd
跳转盘符,并cd到sysmon.exe的目录下
输入命令进行安装
sysmon.exe -accepteula -i sysmonconfig-export.xml         ###注:sysmonconfig-export.xml是github上的一些大佬预配的已修改好的配置文件

/*

标准安装的话是: sysmon.exe -accepteula -i

后面要修改配置文件: sysmon.exe -c xxx.xml

*/

再检测到告警时,通过“事件查看器”,找到

“应用程序和服务日志”-“Microsoft”-“Windows”-“Sysmon”-“Operational”
把这个日志文件右键将所有事件另存为xml格式

通过sysmonview导入xml日志进行查阅,轻松愉快(笑)

图我就不上太多了,生产环境有水印,处理太麻烦了 XD

sysmonview如图,使用还是很容易的,摸索了一两分钟就明白怎么使用了,github大神还是多

如果是自己在事件管理器去看,是有点痛苦,当然爱折腾或者不信任工具可以在事件管理器里去查找效果也是一样的

4、工具链接

sysmonview:https://github.com/nshalabi/SysmonTools

sysmon:https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

配置文件:https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml

有以上三个内容+我的简单教学就够啦~

【安全建设】日志监控的极品工具sysmon的更多相关文章

  1. [转]linux 系统监控、诊断工具之 IO wait

    1.问题: 最近在做日志的实时同步,上线之前是做过单份线上日志压力测试的,消息队列和客户端.本机都没问题,但是没想到上了第二份日志之后,问题来了: 集群中的某台机器 top 看到负载巨高,集群中的机器 ...

  2. ElasticSearch实战-日志监控平台

    1.概述 在项目业务倍增的情况下,查询效率受到影响,这里我们经过讨论,引进了分布式搜索套件——ElasticSearch,通过分布式搜索来解决当下业务上存在的问题.下面给大家列出今天分析的目录: El ...

  3. JDK 中的监控与故障处理工具-01

    当给系统定位问题的时候, 我们经常需要了解并分析 JVM 的运行时状态 . 那应该从哪些方面入手呢? 答案就是从数据入手 . 这里的数据包括: GC日志,异常堆栈, 线程快照(threaddump) ...

  4. 微服务日志监控与查询logstash + kafka + elasticsearch

    使用 logstash + kafka + elasticsearch 实现日志监控 https://blog.csdn.net/github_39939645/article/details/788 ...

  5. java虚拟机(八)--java性能监控与故障处理工具

    问题定位: 除了个人经验,知识,工具也是很重要的,通过数据进行问题分析,包括:运行日志.异常堆栈.GC日志.线程快照(threaddump/javacore文件 ).堆转储快照(heapdump/hp ...

  6. Sentry错误日志监控你会用了吗?

    无论作为新手还是老手程序员在程序的开发过程中,代码运行时难免会抛出异常,而且项目在部署到测试.生产环境后,我们便不可能像在开发时那样容易的及时发现处理错误了.一般我们都是在错误发生一段时间后,错误信息 ...

  7. 【搞定Jvm面试】 JDK监控和故障处理工具揭秘

    本文已经收录自笔者开源的 JavaGuide: https://github.com/Snailclimb ([Java学习+面试指南] 一份涵盖大部分Java程序员所需要掌握的核心知识)如果觉得不错 ...

  8. 运维开发实践——基于Sentry搭建错误日志监控系统

    错误日志监控也可称为业务逻辑监控, 旨在对业务系统运行过程中产生的错误日志进行收集归纳和监控告警.似乎有那么点曾相识?没错... 就是提到的“APM应用性能监控”.但它又与APM不同,APM系统主要注 ...

  9. JDK 监控和故障处理工具

    JDK 监控和故障处理工具 JDK 命令行工具 这些命令在 JDK 安装目录下的 bin 目录下: jps (JVM Process Status): 类似 UNIX 的 ps 命令.用户查看所有 J ...

随机推荐

  1. BUAA 2021-2022毛概复习资料

    2021-2022年毛概期末主观题复习范围,参考2022版教材和课程组官方PPT,原文太过敏感,所以贴出代码大家自己run #include <stdio.h> unsigned arti ...

  2. 分库分表之后分布式如何保证ID全局唯一性

    分库分表之后分布式如何保证ID全局唯一性 韩师学子--小倪 2018-07-21 23:35:38 8139 收藏 3分类专栏: Mysql版权                         分库分 ...

  3. vue的seo问题?

    seo关系到网站排名, vue搭建spa做前后端分离不好做seo, 可通过其他方法解决: SSR服务端渲染: 将同一个组件渲染为服务器端的 HTML 字符串.利于seo且更快. vue-meta-in ...

  4. Java并发机制(7)--线程池ThreadPoolExecutor的使用

    Java并发编程:线程池的使用整理自:博客园-海子-http://www.cnblogs.com/dolphin0520/p/3932921.html 1.什么是线程池,为什么要使用线程池: 1.1. ...

  5. Redis 集群会有写操作丢失吗?为什么?

    Redis 并不能保证数据的强一致性,这意味这在实际中集群在特定的条件下可能会丢失写操作.

  6. springboot-访问数据库

    在springboot中,默认的JPA实现是Hibernate,JPA是Java Persistence API的简称,中文名Java持久层API <!--数据库--> <depen ...

  7. 用 wait-notify 写一段代码来解决生产者-消费者问题?

    只要记住在同步块中调用 wait() 和 notify()方法,如 果阻塞,通过循环来测试等待条件.

  8. (原创)[C#] 一步一步自定义拖拽(Drag&Drop)时的鼠标效果:(一)基本原理及基本实现

    一.前言 拖拽(Drag&Drop),属于是极其常用的基础功能. 无论是在系统上.应用上.还是在网页上,拖拽随处可见.同时拖拽时的鼠标效果也很漂亮,像这样: 这样: 还有这样: 等等等等. 这 ...

  9. HTML5摇一摇(上)—如何判断设备摇动

    刚刚过去的一年里基于微信的H5营销可谓是十分火爆,通过转发朋友圈带来的病毒式传播效果相信大家都不太陌生吧,刚好最近农历新年将至,我就拿一个"摇签"的小例子来谈一谈HTML5中如何调 ...

  10. css创建叉和勾

    a{ display: inline-block; width: 10px;height:5px; background: red;line-height: 0;font-size:0;vertica ...