Sysmon gebruiken in Windows 11: inschakelen, installeren en verwijderen

📅
🕑 5 minuten lezen

Sysmon (Systeemmonitor) is een van die tools die misschien wel heel geavanceerd klinkt, maar je echt helpt om inzicht te krijgen in wat er achter de schermen van Windows 11 gebeurt. Het registreert gedetailleerde zaken zoals het aanmaken van processen, netwerkactiviteit, bestandswijzigingen en het laden van stuurprogramma’s – dingen die de meeste standaardtools niet vastleggen. Als je problemen wilt oplossen of vreemde activiteiten wilt opsporen zonder een geavanceerde bedrijfsomgeving, kan Sysmon een redder in nood zijn. Maar het is niet direct gebruiksklaar; je moet het installeren, configureren en weten waar je moet kijken. Soms lijkt het alsof Windows het actief moeilijker maakt om deze informatie te verkrijgen, vooral door de manier waarop logboeken worden opgeslagen en de noodzaak van aangepaste configuraties. Een beetje geduld (en kennis van de commandoregel) is dan ook erg handig.

Hoe kan ik Sysmon inschakelen, installeren en gebruiken in Windows 11?

Download Sysmon via de officiële bron.

Ga eerst naar de Microsoft Sysinternals-pagina. Zorg ervoor dat je het bestand rechtstreeks daarvandaan downloadt – niet van dubieuze websites van derden – want Windows installeert graag malware of verouderde versies als je niet oppast. Het ZIP-bestand heet meestal iets als Sysmon.zip. Nadat je het hebt gedownload, pak je het uit naar een map die je gemakkelijk terug kunt vinden, bijvoorbeeld in Downloads. Daarin vind je Sysmon64.exe voor 64-bits Windows (waarschijnlijk jouw versie) of Sysmon.exe voor 32-bits. Dit is het uitvoerbare bestand dat je via de opdrachtregel moet starten.

Open de opdrachtprompt als beheerder.

Sysmon kan niet correct worden geïnstalleerd zonder beheerdersrechten – natuurlijk moet Windows het nog lastiger maken. Klik op de Startknop, typ cmd, klik vervolgens met de rechtermuisknop op Opdrachtprompt en kies ‘Uitvoeren als beheerder’. Accepteer de UAC-prompt. Nu is het tijd om de terminal te laten verwijzen naar de locatie waar je Sysmon hebt uitgepakt.

  • Gebruik de cdopdracht om van map te wisselen, bijvoorbeeld:cd C:\Users\\Downloads

Installeer Sysmon met de standaardinstellingen.

Als je alleen de basisinformatie wilt zien en je niet druk wilt maken over filters, gebruik dan dit:

Sysmon64.exe -i

Hiermee wordt Sysmon geïnstalleerd met de standaardconfiguratie en begint het direct met loggen. De eerste keer kan er een licentieovereenkomst verschijnen; accepteer deze gewoon. Op sommige systemen kan het even mislukken of in eerste instantie weinig weergeven, maar na een herstart of een paar minuten zouden er logboeken in Logboeken moeten verschijnen.

Stel Sysmon in met een aangepaste configuratie.

Eerlijk gezegd kunnen standaardlogbestanden snel onoverzichtelijk worden, vooral als je serieuze monitoring uitvoert. Daar komt een XML-configuratiebestand van pas. Veel beveiligingsprofessionals delen kant-en-klare configuratiebestanden die een goede balans bieden tussen ruis en informatie. Download er een van bijvoorbeeld hun GitHub-repository, of maak er zelf een als je vertrouwd bent met XML. Sla het bestand op in dezelfde map als het uitvoerbare bestand van Sysmon.

Sysmon64.exe -i sysmonconfig.xml

Vervang sysmonconfig.xml door de naam van uw eigen bestand. Door dit uit te voeren, wordt Sysmon geïnstalleerd met uw aangepaste regels, wat zorgt voor nauwkeurigere logboekregistratie en minder rommel.

Controleer of Sysmon werkt.

Controleer na de installatie of er logboekregistratie plaatsvindt. Druk op Windows Win + R, typ eventvwr.msc en druk op Enter. Navigeer vervolgens naar Toepassings- en servicelogboeken > Microsoft > Windows > Sysmon > Operationeel. Als u gebeurtenisvermeldingen ziet zoals ID 1 (voor het aanmaken van processen) of ID 3 (voor netwerkverbindingen), is alles in orde. Dubbelklik op een gebeurtenis om de details te bekijken; er is veel informatie beschikbaar, zoals opdrachtregelargumenten, afbeeldingspad, gebruiker, enzovoort.

Werk de configuratie indien nodig bij.

Als je later wilt wijzigen wat er wordt vastgelegd, voer dan het volgende commando uit:

Sysmon64.exe -c sysmonconfig.xml

Hiermee wordt de actieve service bijgewerkt zonder herinstallatie. Maak altijd een back-up van uw configuraties; wat vandaag goed klinkt, moet morgen mogelijk worden aangepast.

Controleer of de Sysmon-service actief is.

Om te controleren of het nog steeds actief is, open je services.msc (via Win + R) en zoek je naar Sysmon. Er zou ‘ Actief’ moeten staan. Of typ gewoon:

sc query sysmon

In de opdrachtprompt: als u “STATE: RUNNING” ziet, is het programma actief. Zo niet, controleer dan uw installatie of de logbestanden op fouten.

De logbestanden gebruiken voor analyse.

Nu Sysmon is opgestart, kunt u de logboeken in Logboeken doorzoeken. Filter op gebeurtenis-ID: 1 voor het aanmaken van processen (verdachte opdrachtregels?), 3 voor uitgaande verbindingen (ongewone IP-adressen?), of zoek naar bestanden die constant veranderen. Als u het geavanceerd wilt aanpakken, kunt u logboeken doorsturen naar SIEM-tools of scripts voor automatisering. Eerlijk gezegd is het vooral nuttig om deze logboeken te correleren met andere gegevensbronnen.

Sysmon verwijderen

Soms is het gewoon niet meer nodig of veroorzaakt het meer problemen dan het oplost. Om Sysmon te verwijderen:

Open de opdrachtprompt als beheerder.

  • Klik met de rechtermuisknop op Start en kies Opdrachtprompt (Administrator).

Navigeer naar de map

  • Gebruik dit cdom naar de locatie te gaan waar Sysmon is opgeslagen.

Voer de verwijderingsopdracht uit.

Sysmon64.exe -u

Klaar. De service wordt gestopt en verwijderd, en de logbestanden worden gewist. Controleer nogmaals met services.msc — Sysmon zou nu niet meer zichtbaar moeten zijn.

Veelgestelde vragen

Waarvoor wordt Sysmon gebruikt in Windows 11?

Het draait allemaal om diepgaand inzicht: het volgen van processen, netwerkactiviteit en het laden van stuurprogramma’s. Ideaal als er zich stiekem malware verstopt of als je vreemd systeemgedrag probeert op te sporen.

Is Sysmon veilig in gebruik?

Jazeker. Het is van Microsoft, wordt goed onderhouden en gebruikt in bedrijfsbeveiliging – geen dubieuze praktijken hier. Het belangrijkste is om voorzichtig te zijn met configuraties, vooral als je ze aanpast om te voorkomen dat logboeken overspoeld raken of dat je belangrijke gebeurtenissen mist.

Vertraagt ​​Sysmon Windows 11?

Eerlijk gezegd is het vrij lichtgewicht, maar te uitgebreide configuratiebestanden kunnen de logbestanden enorm groot maken, wat een klein effect op de prestaties kan hebben – hoewel de meeste mensen dat niet zullen merken. De kunst is om je configuratie af te stemmen op de balans die je nodig hebt.

Waar worden Sysmon-logbestanden opgeslagen?

In Logboeken, onder Toepassings- en servicelogboeken > Microsoft > Windows > Sysmon > Operationeel.

Kan Sysmon na deïnstallatie opnieuw worden geïnstalleerd?

Absoluut. Voer de installatieopdracht gewoon opnieuw uit, met of zonder aangepaste configuratie. Zo flexibel is het.

Heb ik speciale vaardigheden nodig om configuraties aan te passen?

Als je alleen de standaardinstellingen installeert en gebruikt, nee. Maar het maken van aangepaste XML-configuraties vereist wel enige kennis van de basisstructuur van XML en welke gebeurtenissen je wel of niet wilt filteren. Het is niet onmogelijk, maar vereist wel wat leeswerk.

Hopelijk maakt dit het een stuk eenvoudiger voor iemand die niet al te diep in de materie wil duiken, maar toch extra controle wil hebben over de systeemactiviteit van Windows. Onthoud: een beetje voorbereiding nu kan je later urenlang gepieker besparen. Succes!

Samenvatting

  • Download Sysmon van de officiële Microsoft-website.
  • Start de opdrachtprompt als beheerder en installeer met Sysmon64.exe -iof met een aangepaste configuratie.
  • Controleer de logboeken in de Logboeken onder Sysmon Operational.
  • Update configuraties met behulp vanSysmon64.exe -c
  • Verwijderen metSysmon64.exe -u

Samenvatting

Sysmon installeren is niet altijd even makkelijk, vooral als Windows je dwarszit, maar als het eenmaal werkt, is het een prima manier om een ​​kijkje achter de schermen te nemen. Of het nu voor beveiliging, probleemoplossing of gewoon uit nieuwsgierigheid is, het is een tool die de moeite waard is om te leren gebruiken. Hopelijk bespaart dit iemand een paar uur frustratie.