Sysmon es una utilidad que pertenece al conjunto de herramientas Sysinternals (propiedad de Microsot). Este paquete de herramientas están dirigidas a la administración de sistemas windows, Sysmon se encarga de monitorizar la actividad del sistema operativo, nos grabará los eventos en un fichero de eventos del sistema para su posterior análisis, este fichero esta en ‘C:\Windows\System32\winevt\Logs‘ y se llama ‘Microsoft-Windows-Sysmon%4Operational.evtx‘.
Primero hay que descargarlo de su página oficial para instalarlo, nos descargaremos un fichero zip, dentro de este tenemos los ficheros para 32 y 64 bits, para ejecutarlos hay que abrir una consola “cmd” y pasar el parámetro -h para ver su ayuda.
Para instalar sysmon hay que pasar el parámetro “-i”:
sysmon64.exe -i
De esta forma lanzamos la instalación, tendremos que aceptar la licencia y cuando acabe de instalarse, nos mostrara un resumen de lo módulos habilitados y los que no, una vez instalado ya esta monitorizando el sistema operativo en función la opciones de configuración que vienen por defecto.
Si pasamos el parámetro “-c” nos mostrará que es lo que sysmon está y que no está monitorizando.
sysmon64.exe -c
Un problema que tiene esta utilidad es el tamaño del fichero donde guarda toda la información que va monitorizando, para especificar el tamaño del registro de eventos vamos a utilizar el comando ‘wevtutil’, este comando permite instalar y desinstalar los manifiestos de eventos donde consultar los registros y hacer con ellos lo que queramos. Para ejecutar ‘webtutil’ y asignarle 20 mb:
wevtutil sl Microsoft-Windows-Sysmon/Operational /ms:20971520
Ahora, si vamos al ruta “c:\Windows\system32\winevt\logs” veremos el fichero creado por sysmon, este podremos abrirlo con el “Visor de Eventos de sistema” y empezar a monitorizar la actividad del sistema.
Con esta instalación, sysmon trabajará con sus opciones por defecto, pero podemos configurar sysmon a través de su fichero de configuración xml, para poder afinarlo más y que no nos muestre demasiada información que pueda confundirnos cuando estamos analizado los eventos del sistema.
