Ein neuer Dienst zur Server Überwachung, Sysmon von Sysinternals

Microsoft hat ein neues Sysinternals-Tool veröffentlicht.Sysmon (System Monitor) wird als System Dienst installiert und protokolliert beispielsweise Netzwerkzugriffe, Startvorgänge und Prozessveränderungen.
Das Tool kann unter der folgenden URL heruntergeladen werden:

http://technet.microsoft.com/en-us/sysinternals/dn798348

Installation

Das Tool ist sehr einfach zu installieren und zu konfigurieren. Installiert wird der Dienst über das folgende Kommando:

  •  i steht für Installation
  • h steht für den Hash-Algorithmus, dieser wird zur Überwachung der Prozesse genutzt
  • n aktiviert die Netzwerküberwachung

Installationsbeispiel:

 Installation auf eine Host Europe Virtual Server nicht möglich

Leider schlägt die Installation auf einem Host Europe Virtual Server fehl. Das liegt auch wieder an der Art der Virtualisierung. Auf Root Servern ist die Installation kein Problem.

Der Dienst „SysmonDrv“ wurde aufgrund folgenden Fehlers nicht gestartet:
Der Treiber konnte nicht geladen werden.

Protokoll

Das Protokoll wird ab Vista in der Ereignisanzeige unter „Anwendungs- und Dienstprotokolle > Microsoft > Windows > Sysmon > Operational“ protokolliert. In den Windows Versionen darunter wird dies im Bereich Anwendungen protokolliert.