轉載請註明出處：https://www.cnblogs.com/vitalemontea/p/16178048.html

1、前言

  最近態勢感知爆了某個同事有挖礦事件的告警，開啟一看，就是會通過dns去解析幣商域名，但是查不到是哪個程序導致的，一度非常尷尬……

  於是開啟蒐集資料解決問題的道路……最開始是考慮過用指令碼解決的，但是因為還沒搞過所以成本較高……最後……意外發現了sysmon這個工具！

2、Sysmon介紹

   Sysmon是微軟提供的系統事件記錄工具，能夠記錄程序、網路、檔案等行為，可以在事件檢視器中檢視結果，通過規則檔案控制要採集的內容。

   關鍵詞：微軟提供   #來源相對安全

  參考資料：

https://blog.csdn.net/travelnight/article/details/123018881

https://www.4hou.com/posts/P5L6

https://segmentfault.com/a/1190000022927801

3、使用方法

①通過管理員許可權開啟cmd
②跳轉碟符，並cd到sysmon.exe的目錄下
③輸入命令進行安裝
sysmon.exe -accepteula -i sysmonconfig-export.xml         ###注：sysmonconfig-export.xml是github上的一些大佬預配的已修改好的配置檔案

/*  

標準安裝的話是： sysmon.exe -accepteula -i

後面要修改配置檔案： sysmon.exe -c xxx.xml

*/

④再檢測到告警時，通過“事件檢視器”，找到

“應用程式和服務日誌”-“Microsoft”-“Windows”-“Sysmon”-“Operational”
把這個日誌檔案右鍵將所有事件另存為xml格式

⑤通過sysmonview匯入xml日誌進行查閱，輕鬆愉快（笑）

圖我就不上太多了，生產環境有水印，處理太麻煩了 XD

sysmonview如圖，使用還是很容易的，摸索了一兩分鐘就明白怎麼使用了，github大神還是多

如果是自己在事件管理器去看，是有點痛苦，當然愛折騰或者不信任工具可以在事件管理器裡去查詢效果也是一樣的

4、工具連結

sysmonview：https://github.com/nshalabi/SysmonTools

sysmon:https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

配置檔案:https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml

有以上三個內容+我的簡單教學就夠啦~