添加Sysmon应用
Sysmon(系统监视器),安装在系统上后,可审计系统活动,包括注册表活动、文件活动、进程活动、网络驱动活动等。
已安装 Sysmon 的设备可以被添加为 Sysmon 应用 ,以将事件分类到不同报告中。
添加设备为Sysmon应用的步骤如下。
注意:确保网络中至少有一台Windows设备安装了Log360 Cloud代理。配置代理,请按此处提供的步骤操作。
这里.
- 登录您的 Log360 Cloud仪表盘.
- 导航至 设置 -> 配置设置 -> 日志源配置 -> 应用 选项卡。
- 在右侧窗格中,点击 通用应用 选项卡查看被监控的应用列表。
- 若要添加新应用,点击 添加通用应用.
- 从 应用类型 下拉框中选择Sysmon应用。
- 点击“+”图标展开列表以添加新设备。
- 从下拉菜单中选择配置的设备、工作组设备、域设备等。
- 若要手动添加新设备,点击 手动配置 并输入 日志源.
- 如果设备类型为syslog,请勾选“添加为Syslog设备”框。如果设备类型为Windows,输入用户名 > 密码 > 验证凭据。
- 从下拉列表中选择代理并点击 选择.
- 点击 添加,应用将被添加至监控。
在搜索
导航至 搜索中。您可以点击下拉框并向下滚动搜索日志。您将找到特定的日志类型分类,针对 Sysmon 。 Sysmon 应用.
为了从 Sysmon应用日志获得更多见解,您可以从日志中提取或创建自定义/新字段。点击这里了解更多。
EventLog日志配置
请注意,当设备被添加为Sysmon应用时,只要凭据有权限访问注册表并添加该键,这些配置将自动添加。如果未自动配置,则需手动添加并启用该键以开启日志记录。
添加注册表键的步骤
- 使用命令行窗口打开Sysmon机器上的注册表编辑器 regedit 。
- 导航至 路径:Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\
- 若要新建键,右键点击eventlog,选择新建 > 键。键名可为 Microsoft-Windows-Sysmon/Operational.
