37、安全实用工具指南

安全实用工具指南

1. Sysmon 错误报告

Sysmon 在检测到可能影响其运行的意外内部状况时，会在 Sysmon 事件日志中记录错误报告事件。如果你看到此类事件，请通过指定论坛报告。错误报告事件包含以下数据：
-UtcTime：错误记录的通用协调时间（UTC），格式为 yyyy-MM-dd HH:mm:ss.000。
-ID：有助于识别程序中特定故障点的整数值。
-Description：描述错误状况的额外文本。

2. Sysmon 的安装与配置

Sysmon 是可打包为单个可执行映像的工具，可立即运行。其相关操作命令如下：
-安装并开始监控：sysmon -i -accepteula [options]
-更改配置：sysmon -c [options]
-查看当前配置：sysmon –c
-仅注册事件日志清单：sysmon –m
-卸载 Sysmon：sysmon –u

配置更改立即生效，无需重启。查看配置无需管理员权限。卸载时不会删除事件日志文件，原因是 Windows 事件日志服务未释放