我必须使用windows事件查看器,我第一次被要求安装sysmon。作为我的第一个任务的一部分,我需要确保事件id 11和22工作,因为他们应该。对于id为11的事件(如果创建了一个文件,它会记录),无论何时创建一个文件,它都不会记录。对于事件id 22,我可以看到日志,但我无法看到我在详细信息选项卡中访问的网站。我的任务是使用xml文件sysmonconfig-export并对其进行配置,以确保事件id按其应有的方式显示。我应该更改XMS文件中的哪一行,以确保两个id都按我希望的那样工作?
我的讲师向我们展示了如何确保事件查看器显示的事件id为23,即通过更改
<ClipboardChange onmatch="include">
</ClipboardChange>
<FileDelete onmatch="exclude">
</FileDelete>
工作。但是我不知道如何使用事件id的11和22。
我建议你阅读微软关于Sysmon事件的文档
您也可以通过运行命令sysmon -s(或64位的sysmon64 -s)来打印Sysmon的模式,例如—事件ID 11:
<event name="SYSMONEVENT_FILE_CREATE" value="11" level="Informational" template="File created" rulename="FileCreate" ruledefault="exclude" version="2">
<data name="RuleName" inType="win:UnicodeString" outType="xs:string" />
<data name="UtcTime" inType="win:UnicodeString" outType="xs:string" />
<data name="ProcessGuid" inType="win:GUID" />
<data name="ProcessId" inType="win:UInt32" outType="win:PID" />
<data name="Image" inType="win:UnicodeString" outType="xs:string" />
<data name="TargetFilename" inType="win:UnicodeString" outType="xs:string" />
<data name="CreationUtcTime" inType="win:UnicodeString" outType="xs:string" />
<data name="User" inType="win:UnicodeString" outType="xs:string" />
</event>