原文:https://www.jianshu.com/p/43bf5aadfd28
我自己安裝成功以后,可以看到采集的日志,運行powershell以后生成的日志:
sysmon安裝配置及其使用
22021.09.15 11:11:09
字數 900
閱讀 1,366
sysmon是微軟團隊出品的一款日志搜集工具,這里記錄下其安裝配置使用方法
環境
- Windows 10 64位
軟件下載
進入到微軟官方下載地址點擊鏈接下載sysmon:
sysmon下載
軟件安裝
下載好的軟件進行解壓,解壓完成后如圖所示:
解壓后的sysmon
在電腦開始菜單輸入cmd搜索,選擇以管理員身份運行(一定要選擇管理員權限運行,否則后續安裝會報錯):
打開cmd
在cmd命令窗口輸入命令安裝sysmon(該路徑為sysmon存放路徑):
C:\Users\User\Downloads\Sysmon\Sysmon64.exe -i
然后就能看到出現了安裝界面:
安裝界面
點擊agree,安裝完成:
安裝完成
軟件配置
配置文件參考博客編寫即可,編寫完成后在命令行窗口輸入命令配置sysmon:
C:\Users\User\Downloads\Sysmon\Sysmon64.exe -c <config.xml文件路徑>
由於這里不需要配置規則,保持默認配置即可:
C:\Users\User\Downloads\Sysmon\Sysmon64.exe -c --
修改為默認配置
軟件使用
鍵盤同時按下win+r,在彈出的窗口輸入eventvwr.msc打開事件查看器:
打開事件查看器
在打開的事件查看器中依次選擇應用程序和服務日志>Microsoft>Windows>Sysmon:
事件查看器
在sysmon日志中選取信息,點擊詳細信息即可查看到詳細日志信息:
日志信息查看
這里給出事件ID對應的事件類型:
| EventType | 譯文 | EventId |
|---|---|---|
| Sysmon Service Status Changed | sysmon服務狀態改變 | 0 |
| ProcessCreate | 進程創建 | 1 |
| FileCreateTime | 文件創建時間更改 | 2 |
| NetworkConnect | 網絡連接 | 3 |
| Service State Change | 服務狀態改變 | 4 |
| ProcessTerminate | 進程終止 | 5 |
| DriverLoad | 驅動程序加載 | 6 |
| ImageLoad | 鏡像加載 | 7 |
| CreateRemoteThread | 創立遠程線程 | 8 |
| RawAccessRead | 檢測到原始訪問讀取 | 9 |
| ProcessAccess | 已訪問的進程 | 10 |
| FileCreate | 文件創建 | 11 |
| Registry object added or deleted | 添加或刪除注冊表對象 | 12 |
| Registry Create | 注冊表值設置 | 13 |
| Registry Rename | 注冊表對象重命名 | 14 |
| FileCreateStreamHash | 已創建文件流 | 15 |
| Sysmon Config Change | sysmon配置更改 | 16 |
| Named Pipe Create | 命名管道創建 | 17 |
| Named Pipe Connected | 命名管道連接 | 18 |
| WMI Event Filter | 檢測到WMI Event Filter活動 | 19 |
| WMI Event Consumer | 檢測到WMI Event Consumer活動 | 20 |
| WMI Consumer to Filter | 檢測到WMI Consumer to Filter活動 | 21 |
| DNS Query | DNS查詢 | 22 |
| File Delete | 文件刪除 | 23 |
| Clipboard Capture | 剪貼板捕獲 | 24 |
| Process Tampering | 進程篡改 | 25 |
| File Delete Detected | 檢測到文件刪除 | 26 |
| Error | 錯誤 | 255 |
關於Event ID更詳細的介紹見Github
日志導出
如果想要將日志信息導出,則可按照以下流程進行。
首先,下載大佬的腳本
然后打開powershell,運行命令導入腳本:
Import-Module .\Export-WinEvents.ps1
其中,空格后面的部分為要引入的腳本路徑(本句表示腳本在當前目錄下),注意此處為反斜杠表示分隔符
然后,運行命令清空當前的sysmon日志:
@('Microsoft-Windows-Sysmon/Operational') | Clear-WinEvents
最后,運行命令導出日志:
$FromDate = get-date;
@('Microsoft-Windows-Sysmon/Operational') | Export-WinEvents -EndDate $FromDate -OutputPath "SecurityDataset_$(get-date -format yyyy-MM-ddTHHmmssff).json" -Verbose
其中,@()內的代表日志的類型,可以為多個;而-OutputPath后引號內的參數為導出的日志文件的路徑和名稱
參考資料
本文參考了以下文檔,可自行拓展查看: