Sysmon ist ein Monitor für die interne Windows-Aktivität und fungiert als Systemdienst und Treiber. Verfolgt die Aktivitäten des Dateisystems, der Registry, des Netzwerkstacks und der laufenden Anwendungen. Es beginnt bereits in einer frühen Phase des Systemstarts und erfasst praktisch alle Details.

Um Sysmon zu installieren, führen Sie die Konsole (CMD.exe) mit Administratorrechten aus, geben Sie dann das Dateiverzeichnis ein und geben Sie den Befehl sysmon -i zur Prozessüberwachung aus, oder sysmon -i -n, wenn Sie auch Netzwerkverbindungen überwachen möchten. Die Lizenz des Programms wird angezeigt - wenn Sie damit einverstanden sind, wird das Programm installiert und beginnt nach dem Neustart des Systems zu funktionieren. Der grundlegende Einblick in die Tätigkeit von Sysmon kann durch den System Event Viewer (Eventvwr.msc) gewonnen werden - in den Protokollen des Anwendungs- und Dienstzweigs der Anwendung und des Dienstzweigs der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne der Domäne.

Dort sehen wir eine Liste von Ereignissen, deren Quelle Sysmon ist - Details können nach einem Klick überprüft werden. Natürlich können Protokolle gefiltert und gelöscht werden, und die Aktivität des Sysmon selbst kann über das Kontextmenü (rechte Maustaste) über dem Element Operational verwaltet werden. Um den Sysmone zu deinstallieren, verwenden Sie den Befehl (in der Konsole) sysmon -u.

Dadurch werden die Steuerung und der Systemdienst entfernt, ohne neu gestartet werden zu müssen. Die Dokumentation dieses leistungsstarken Tools finden Sie auf den Seiten von Windows Sysinternals.