转载请注明出处:https://www.cnblogs.com/vitalemontea/p/16178048.html

1、前言

最近态势感知爆了某个同事有挖矿事件的告警,打开一看,就是会通过dns去解析币商域名,但是查不到是哪个进程导致的,一度非常尴尬……

于是开启搜集资料解决问题的道路……最开始是考虑过用脚本解决的,但是因为还没搞过所以成本较高……最后……意外发现了sysmon这个工具!

2、Sysmon介绍

Sysmon是微软提供的系统事件记录工具,能够记录进程、网络、文件等行为,可以在事件查看器中查看结果,通过规则文件控制要采集的内容。

关键词:微软提供   #来源相对安全

参考资料:

https://blog.csdn.net/travelnight/article/details/123018881

https://www.4hou.com/posts/P5L6

https://segmentfault.com/a/1190000022927801

3、使用方法

通过管理员权限打开cmd
跳转盘符,并cd到sysmon.exe的目录下
输入命令进行安装
sysmon.exe -accepteula -i sysmonconfig-export.xml         ###注:sysmonconfig-export.xml是github上的一些大佬预配的已修改好的配置文件

/*

标准安装的话是: sysmon.exe -accepteula -i

后面要修改配置文件: sysmon.exe -c xxx.xml

*/

再检测到告警时,通过“事件查看器”,找到

“应用程序和服务日志”-“Microsoft”-“Windows”-“Sysmon”-“Operational”
把这个日志文件右键将所有事件另存为xml格式

通过sysmonview导入xml日志进行查阅,轻松愉快(笑)

图我就不上太多了,生产环境有水印,处理太麻烦了 XD

sysmonview如图,使用还是很容易的,摸索了一两分钟就明白怎么使用了,github大神还是多

如果是自己在事件管理器去看,是有点痛苦,当然爱折腾或者不信任工具可以在事件管理器里去查找效果也是一样的

4、工具链接

sysmonview:https://github.com/nshalabi/SysmonTools

sysmon:https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

配置文件:https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml

有以上三个内容+我的简单教学就够啦~

【安全建设】日志监控的极品工具sysmon的更多相关文章

  1. [转]linux 系统监控、诊断工具之 IO wait

    1.问题: 最近在做日志的实时同步,上线之前是做过单份线上日志压力测试的,消息队列和客户端.本机都没问题,但是没想到上了第二份日志之后,问题来了: 集群中的某台机器 top 看到负载巨高,集群中的机器 ...

  2. ElasticSearch实战-日志监控平台

    1.概述 在项目业务倍增的情况下,查询效率受到影响,这里我们经过讨论,引进了分布式搜索套件——ElasticSearch,通过分布式搜索来解决当下业务上存在的问题.下面给大家列出今天分析的目录: El ...

  3. JDK 中的监控与故障处理工具-01

    当给系统定位问题的时候, 我们经常需要了解并分析 JVM 的运行时状态 . 那应该从哪些方面入手呢? 答案就是从数据入手 . 这里的数据包括: GC日志,异常堆栈, 线程快照(threaddump) ...

  4. 微服务日志监控与查询logstash + kafka + elasticsearch

    使用 logstash + kafka + elasticsearch 实现日志监控 https://blog.csdn.net/github_39939645/article/details/788 ...

  5. java虚拟机(八)--java性能监控与故障处理工具

    问题定位: 除了个人经验,知识,工具也是很重要的,通过数据进行问题分析,包括:运行日志.异常堆栈.GC日志.线程快照(threaddump/javacore文件 ).堆转储快照(heapdump/hp ...

  6. Sentry错误日志监控你会用了吗?

    无论作为新手还是老手程序员在程序的开发过程中,代码运行时难免会抛出异常,而且项目在部署到测试.生产环境后,我们便不可能像在开发时那样容易的及时发现处理错误了.一般我们都是在错误发生一段时间后,错误信息 ...

  7. 【搞定Jvm面试】 JDK监控和故障处理工具揭秘

    本文已经收录自笔者开源的 JavaGuide: https://github.com/Snailclimb ([Java学习+面试指南] 一份涵盖大部分Java程序员所需要掌握的核心知识)如果觉得不错 ...

  8. 运维开发实践——基于Sentry搭建错误日志监控系统

    错误日志监控也可称为业务逻辑监控, 旨在对业务系统运行过程中产生的错误日志进行收集归纳和监控告警.似乎有那么点曾相识?没错... 就是提到的“APM应用性能监控”.但它又与APM不同,APM系统主要注 ...

  9. JDK 监控和故障处理工具

    JDK 监控和故障处理工具 JDK 命令行工具 这些命令在 JDK 安装目录下的 bin 目录下: jps (JVM Process Status): 类似 UNIX 的 ps 命令.用户查看所有 J ...

随机推荐

  1. unittest 测试用例实现

    unittest框架结构 test_case: 测试套件,每一个.py文件代表一个测试用例,测试用例以test开头,否则框架读取不到测试用例 __init__.py是做什么的? 要弄明白这个问题,首先 ...

  2. ubuntu16.04启动ssh服务

    1 查看ssh服务是否开启 ps -e | grep ssh* 2如果没有则安装ssh apt-get install openssh-server openssh-client 3再看服务就有ssh ...

  3. 数组有没有 length()方法?String 有没有 length()方法?

    数组没有 length()方法,有 length 的属性. String 有 length()方法.JavaScript中,获得字符串的长度是通过 length 属性得到的,这一点容易和 Java 混 ...

  4. Spring 支持的事务管理类型?

    Spring 支持两种类型的事务管理:编程式事务管理:这意味你通过编程的方式管理事务,给你带来极大的灵 活性,但是难维护.声明式事务管理:这意味着你可以将业务代码和事务管理分离,你只需用 注解和 XM ...

  5. 有哪些类型的通知Advice?

    Before - 这些类型的 Advice 在 joinpoint 方法之前执行,并使用 @Before 注解标记进行配置. After Returning - 这些类型的 Advice 在连接点方法 ...

  6. 怎么创建maven项目

    1.Eclipse中用Maven创建项目 2.点击[next] 3.选maven-archetype-webapp后,next 4.填写相应的信息,Packaged是默认创建一个包,不写也可以 4右击 ...

  7. 微信小程序实时通讯(websocket)问题

    这几天值班忙的不要不要,人工智能这块看的都是零零散散,今天就来写写小程序的实时通讯吧.小程序端://这个是连接 lianjie:function(){ var socketOpen = false / ...

  8. 原型模式故事链--new一个对象的过程

    上一个总标题:https://segmentfault.com/a/11...提问:你有对象了吗?答:没有.笨!new一个不就好了吗! 问题点:为什么我要理解new一个对象的过程?答:不理解这个过程, ...

  9. 移动端H5页面中1px边框的几种解决方法

    问题提出 这是一个比较老的问题了,我第一次注意到的时候,是UI设计师来找我麻烦,emmm那时候我才初入前端职场,啥也不懂啊啊啊啊啊,情形是这样的:设计师拿着手机过来:这些边框都粗了啊,我的设计稿上是1 ...

  10. python-人物风云榜(实现排名)

    Description 又到了云之国一年一度的任务风云榜更新的大日子了.给出每个人风云力数值,需要你给出每个人的排名.注意,排名存在并列的情况. Input 一共有 22 行.第一行一个整数 n ,表 ...