Sysmon - служба из набора Sysinternals, которая в фоне фиксирует действия системы (запуск/завершение процессов, сетевые соединения, изменения реестра, создание файлов и т.п.). Всё попадает в журнал Event Viewer → Applications and Services Logs → Microsoft → Windows → Sysmon → Operational, откуда можно быстро посмотреть, что происходило на компьютере.
Как установить
| ОС | Шаги |
|---|---|
| Windows 11 | 1. Win+R → appwiz.cpl → "Включение или отключение компонентов Windows".2. Поставьте галочку рядом с Sysmon и нажмите OK.3. Откройте cmd от админа и выполните sysmon -accepteula -i. |
| Windows 10 | 1. Скачайте архив с сайта Microsoft Sysinternals.2. Распакуйте, откройте cmd от админа.3. Выполните <путь>\sysmon.exe -accepteula -i. |
После установки служба сразу начинает собирать данные; перезагрузка не требуется.
Остановить/запустить службу:
net stop sysmon // остановить
net start sysmon // запустить
Полное удаление: sysmon -u.
Быстрый старт с конфигурацией
По умолчанию Sysmon пишет только два события:
- ID 1 - создание процесса
- ID 5 - завершение процесса
Чтобы получать более полезные сведения (файлы, реестр, сеть), подключаем XML‑конфиг. Пример минимального файла myconfig.xml:
<Sysmon schemaversion="4.82">
<HashAlgorithms>md5,sha256</HashAlgorithms>
<EventFiltering>
<!-- Исключаем системные процессы -->
<RuleGroup groupRelation="or">
<ProcessCreate onmatch="exclude">
<Image condition="is">C:\Windows\System32\svchost.exe</Image>
<Image condition="is">C:\Windows\System32\SearchIndexer.exe</Image>
</ProcessCreate>
</RuleGroup>
<!-- Записываем все сетевые соединения, кроме браузеров -->
<RuleGroup groupRelation="or">
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">firefox.exe</Image>
<Image condition="end with">msedge.exe</Image>
</NetworkConnect>
</RuleGroup>
<!-- Файлы автозапуска -->
<RuleGroup groupRelation="or">
<FileCreate onmatch="include">
<TargetFilename condition="contains">\Startup\</TargetFilename>
<TargetFilename condition="end with">.exe</TargetFilename>
</FileCreate>
</RuleGroup>
<!-- Автозагрузка из реестра -->
<RuleGroup groupRelation="or">
<RegistryEvent onmatch="include">
<TargetObject condition="contains">\Run</TargetObject>
</RegistryEvent>
</RuleGroup>
</EventFiltering>
</Sysmon>
Применить конфиг: sysmon -c C:\path\myconfig.xml. Изменения вступают сразу.
Что увидеть в журнале
- ProcessCreate (ID 1) - имя, PID, родитель, хеши MD5/SHA‑256 (удобно искать в VirusTotal).
- NetworkConnect (ID 3) - процесс‑источник, удалённый IP/порт, протокол.
- FileCreate (ID 11) - путь, имя, хеш, кто создал.
- RegistryEvent (ID 12‑14) - ключ, действие, процесс‑источник.
Эти записи позволяют быстро понять, какие программы запускаются, какие файлы попадают в автозапуск и какие внешние соединения открываются.
Полезные лайфхаки
- Фильтры - используйте
excludeдля шумных системных процессов,includeтолько для интересующих вас путей/приложений. - Хеши - включите
md5,sha256, чтобы сразу иметь подписи файлов для проверки в онлайн‑сканерах. - Виртуальные машины - установите драйверы интеграции (VMware Tools, VirtualBox Guest Additions), иначе Sysmon может не видеть реального железа.
- Удалённый доступ - в RDP‑сеансах события могут писаться от имени виртуального драйвера, поэтому лучше проверять локально.
Sysmon - лёгкая, но мощная система аудита Windows. Установка занимает пару минут, а с помощью небольшого XML‑файла можно настроить сбор только нужных событий, избавившись от лишнего шума. После этого всё, что происходит в системе, фиксируется в журнале и готово к быстрому анализу.