Microsoft ofrece una gran cantidad de herramientas útiles para los usuarios finales que se pueden usar para modificar, reproducir, solucionar problemas, diagnosticar, asegurar o hacer cualquier cosa con el sistema operativo Windows . Sysinternals System Monitor (Sysmon), es una de esas herramientas recientemente lanzadas y diseñada para computadoras basadas en Windows que recopila todos los archivos de registro del sistema. Estos archivos de registro son muy importantes y cruciales para comprender los problemas relacionados con Windows . Sysmon, una vez instalado, continúa ejecutándose en segundo plano como inactivo y se puede reactivar cuando sea necesario.

Monitor de sistema Sysmon para Windows

El flujo de trabajo básico detrás de System Monitor^{(System Monitor)} es que almacena información de la recopilación de eventos de Windows^{(Windows Event Collection)} ( visor de eventos^{(Event Viewer)} ) y los agentes de administración de eventos^{(Event Management)} e información de seguridad^{(Security Information)} ( SIEM ), como ^(SIEM)ID^(IDs) de proceso , GUID^(GUIDs) , SHA1 , MD5 ( SH256^(SHA256) ), registros hash. Almacena todos estos archivos en la carpeta operativa Applications and Services\logs\Microsoft\Windows\Sysmon\operationalWindows 10/8/7/Vista , y en el registro de eventos del sistema^{( System event log)}  en sistemas operativos Windows más antiguos como Windows XP ..

Cómo instalar el Monitor del sistema
^{(How to install System Monitor)}

• Descargar Sysmon [^{(Download Sysmon [)} enlace de descarga proporcionado a continuación]
• El archivo descargado estará en formato zip. Descomprima el archivo usando el extractor de archivos predeterminado de Windows o pruebe Winrar , 7zip, etc.
• Una vez que el archivo esté descomprimido, ejecute "Sysmon", acepte el EULA y presione Siguiente.
• Espere^(Wait) a que System , Monitor complete la instalación, ¡eso es todo!

Cómo usar Sysmon^{(How to use Sysmon)}

La línea de comando en sysmon se puede usar para instalar, desinstalar, verificar y modificar la configuración de System Monitor:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Algunos comandos que el usuario necesita entender son:^{(Few commands that user need to understand are:)}

– i: instalar programas de servicio y controladores

-n : almacena registros de conexión de red

-u : desinstala los programas de servicio y controlador

-c : actualiza el controlador de sistema instalado en la computadora o ayuda a volcar los ajustes de configuración actuales disponibles

-h : Especifica el algoritmo aplicado al programa [por defecto se aplica SHA1 ]

Ejemplos:^(Examples:)

• Para instalar la aplicación con la configuración predeterminada: “ sysmon -i accepteula ” sin comillas [SHA1 default]
• Para instalar la aplicación con la configuración de MD5 [SHA256]: “ sysmon -i accepteula –h md5 -n ”  
• Para desinstalar “ sysmon -u ”

System Monitor almacena eventos como ID^{(Event IDs)} de eventos como,

• ID de evento 1^{(Event ID 1)} : utilizado para la creación de procesos,
• Id. de evento 2^{(Event ID 2)} : un proceso^(Process) cambió la hora de creación de un archivo con marca de tiempo y
• Id. de evento 3^{(Event ID 3)} : para conexión de red.

La herramienta seguirá ejecutándose en segundo plano y escribirá todos los registros de eventos en una carpeta. Después de instalar o desinstalar, no es necesario reiniciar el sistema.

Es una herramienta imprescindible para todas las computadoras que se ejecutan en Windows . ¡ Obtenga la herramienta System Monitor desde ^{(System Monitor)}here!

ACTUALIZACIÓN^(UPDATE) : Windows Sysinternals Sysmon ahora también registra la actividad del proceso en el registro de eventos de Windows para su uso en la detección de incidentes y el análisis forense, incluye eventos de carga de imágenes y de controladores con información de firma, informes de algoritmos hash configurables, filtros flexibles para incluir y excluir eventos y soporte para proporcionar la configuración a través de un archivo de configuración en lugar de la línea de comandos. También obtiene detección de manipulación de procesos de malware .

Sysinternals Sysmon system monitor for Windows

Microsoft offеrs a plethora оf uѕeful tools for end-users that сan be used to tweak, play, troubleshoot, diagnose, secure, or do anything with the Windows operating system. Sysinternals System Monitor (Sysmon), is one such newly released tool designed for Windows-based computer which collects all system log files. These log files are very important and crucial to understand issues pertaining to Windows. Sysmon once installed keeps running in the background as dormant and can be brought back to life when required.

Sysmon System Monitor for Windows

The basic workflow behind System Monitor is that it stores information from Windows Event Collection (Event Viewer) and Security Information and Event Management (SIEM) agents like process IDs, GUIDs, SHA1, MD5 (SHA256) hash logs. It stores all these files under Applications and Services\logs\Microsoft\Windows\Sysmon\operational folder in Windows 10/8/7/Vista, and under System event log in older Windows operating systems like Windows XP.

How to install System Monitor

• Download Sysmon [download link provided below]
• The downloaded file will be in zip format. Unzip the file using windows default file extractor or try Winrar, 7zip etc.
• Once the file is unzipped, run “Sysmon” accept the EULA and hit Next.
• Wait for System, Monitor to complete installation, that’s all!

How to use Sysmon

The command line in sysmon can be used to install, uninstall, check and to tweak System Monitor’s configuration:

Install:    Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]

Configure:  Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]

Uninstall:  Sysmon.exe –u

Few commands that user need to understand are:

–i: install service and driver programs

-n: stores network connection logs

-u: uninstall service and driver programs

-c: it updates the installed sysmon driver on the computer or helps to dump current configuration  settings available

-h: It specifies the algorithm applied to the program [by default SHA1 is applied]

Examples:

• To install the application with default settings: “sysmon -i accepteula” without quotes [SHA1 default]
• To install the application with MD5 [SHA256] settings: “sysmon -i accepteula –h md5 -n”  
• To uninstall “sysmon -u”

System Monitor stores events like Event IDs as,

• Event ID 1: Used for Process Creation,
• Event ID 2: A Process changed a file creation time with timestamp and
• Event ID 3: For Network Connection.

The tool will keep running in the background and will write all event logs into a folder. After install or uninstall a system reboot is not all required.

It is a must-have tool for all computers running on Windows. Go grab the System Monitor tool from here!

UPDATE: Windows Sysinternals Sysmon now also records process activity to the Windows event log for use by incident detection and forensic analysis, includes driver load and image load events with signature information, configurable hashing algorithm reporting, flexible filters for including and excluding events, and support for supplying configuration via a configuration file instead of the command line. It also gets malware process tampering detection.

Related posts

• Físico Memory Limits en archivos Crash Dump para Windows 10

• Cómo usar SysInternals Process Explorer tool para Windows 10

• El proceso Manager le permite medir computer reboot veces y más

• RAMMap es un memory usage analysis utility de Sysinternales

• Comparte archivos con cualquier persona con Send Anywhere para Windows PC

• ¿Qué es el Windows.edb file en Windows 10?

• Taskbar Notificaciones que no se muestran en Windows 10

• Edición, Add, Remove artículos de New Context Menu en Windows 10

• Watch TV digital y escucha Radio en Windows 10 con ProgDVB

• ¿Qué es un PLS file? ¿Cómo crear un PLS file en Windows 11/10?

• Habilitar Network Connections mientras está en Modern Standby en Windows 10

• Cómo habilitar o Disable Archive Apps feature en Windows 10

• Windows no pudo localizar el archivo de instalación requerido boot.wim

• Cómo usar Network Sniffer Tool PktMon.exe en Windows 10

• Cómo cambiar el valor predeterminado Webcam en la computadora Windows 10

• Cómo deshabilitar las clases de almacenamiento extraíbles y el acceso en Windows 10

• Best gratis Timetable software para Windows 11/10

• Cómo corregir Disk Signature Collision problem en Windows 10

• Microsoft Intune no se sincronizan? Force Intune para sincronización en Windows 11/10

• Cómo hacer una copia de seguridad, Move, OR Delete PageFile.sys en el apagado en Windows 10