Sysmon est un moniteur de l'activité interne de Windows, agissant comme un service système et un pilote. Suivi de l'activité du système de fichiers, du Registre, de la pile réseau et des applications en cours d'exécution. Il commence à un stade précoce de la mise en service du système, en saisissant pratiquement tous les détails.

Pour installer Sysmon, exécutez la console (CMD.exe) avec les privilèges d'administrateur, puis entrez dans le répertoire des fichiers et lancez la commande sysmon -i pour surveiller les processus, ou sysmon -i -n si vous souhaitez également surveiller les connexions réseau. La licence du programme sera affichée - si vous l'acceptez, le programme sera installé et commencera à fonctionner après le redémarrage du système. L'aperçu de base de l'activité de Sysmon peut être obtenu à travers le System Event Viewer (Eventvwr.msc) - dans les Logs de la branche application et services de l'application et la branche services du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine du domaine Là nous verrons une liste d'événements, dont la source est Sysmon - les détails peuvent être vérifiés après avoir cliqué.

Les journaux peuvent bien sûr être filtrés et effacés, et l'activité du Sysmon elle-même peut être gérée via le menu contextuel (bouton droit de la souris) sur l'élément opérationnel. Pour désinstaller le Sysmone, utilisez la commande (dans la console) sysmon -u. Ceci supprimera le contrôleur et le service système sans avoir à redémarrer.

La documentation de cet outil puissant se trouve sur les pages Windows Sysinternals.