Sysmon 5是流行的Windows监视程序的最新版本，该程序将活动写入Windows事件日志。

Sysmon代表系统监视器，是后台监视器。这意味着安装后无需用户交互或图形用户界面即可完成工作。

实际上，安装它所要做的就是从命令行运行一个简短的命令来安装监视服务。

这是通过以下方法完成的：敲击Windows键，键入cmd.exe，在按Enter键之前按住Shift键和Ctrl键，然后在Sysmon程序目录中键入sysmon -accepteula -i。

提示：要再次卸载Sysmon，请再次运行该操作，但这一次使用sysmon -u命令。

该程序直接记录到Windows事件日志中，这意味着您需要使用本机查看器或第三方程序(例如“ 事件日志资源管理器”)将其打开以访问数据。

Sysmon 5跟踪的所有事件都存储在事件日志中的应用程序和服务日志/ Microsoft / Windows / Sysmon / Operational中。

sysmon事件查看器

应用程序跟踪以下事件：

事件1：进程创建-在该事件ID下列出了系统上创建的任何新进程。

事件2：文件创建时间更改。

事件3：网络连接-默认情况下处于禁用状态。要启用它，请使用参数-n运行install命令。

事件4：Sysmon服务状态更改。

事件5：进程终止。

事件6：驱动程序已加载。

事件7：图像已加载。默认情况下禁用。要启用它，请使用参数-l运行install命令。

事件8：创建远程线程-记录某个进程在另一个进程中创建线程的时间。

事件9：原始访问读取-记录进程何时使用\\和\从驱动器读取操作。

事件10：进程访问-记录某个进程打开另一个进程的时间。

事件11：文件创建。

事件12：注册表事件(对象创建和删除)-记录进程创建或删除注册表对象的时间。

事件13：注册表事件(值集)-记录进程在注册表中设置值的时间。

事件14：注册表事件(键和值重命名)-记录注册表键或值重命名的时间。

事件15：文件创建流哈希-记录创建文件流的时间。

事件255：错误。

支持过滤，这意味着您可以使用事件过滤来过滤您感兴趣的特定事件。

新的Sysmon 5引入了新的监视选项，用于记录文件创建和注册表修改事件。

Sysmon的主要更新是一个后台监视器，该监视器将事件记录到事件日志中以用于安全事件检测和取证，它引入了文件创建和注册表修改日志记录。这些事件类型使配置过滤器成为可能，该过滤器捕获对关键系统配置的更新以及对恶意软件使用的自动启动入口点的更改。

结束语

Sysmon 5通过将注册表修改和文件创建事件引入日志记录功能来进一步改进了本已不错的程序。由于没有其他更改，因此可以毫无疑问地将程序的现有副本升级到最新版本，以从其他事件记录选项中受益。