Sysmon est un service Windows et un pilote qui enregistre les créations de processus, tentatives de changer la date de création du fichier, et, éventuellement, les connexions réseau. Il est destiné à vous aider à identifier les activités malveillantes, mais pourrait également être utile pour le dépannage général, ou si vous avez besoin de connaître quelques informations de base sur la façon dont un ordinateur est utilisé.
Il n’y a pas d’interface. Il s’install par la commande sysmon -i ou sysmon -i -n pour surveiller les réseaux.
Si l’installation se déroule bien, vous devriez voir le EULA à accepter.
Ensuite, lancer l’observateur d’événements (Eventvwr.msc) et voir ce qui est enregistrer dans Logs\Microsoft\Windows\Sysmon\Operational
Sysmon est relativement limité dans ce qu’il peut contrôler, mais il est extrêmement facile à gérer, et la sauvegarde de ses résultats, des événements vous donne beaucoup de façons de voir et de les filtrer. Un outil pratique pour les administrateurs système et autres utilisateurs de puissance.
http://technet.microsoft.com/en-gb/sysinternals/dn798348