[ツール名]Sysmon(System Monitor)
[対象]Windows
[提供元]マイクロソフト
[ダウンロード先][URL]http://technet.microsoft.com/ja-jp/sysinternals/dn798348
「Windows Sysinternals」には60を超えるさまざまな無償ツールがありますが、つい先日、2014年8月5日(米国時間)に新しいツールとなる「Sysmon(System Monitor)」が仲間入りしました。8月20日には更新版の「v1.01」が公開され、イベントログ表示の改善やUDPデータグラムのログ機能が追加されました。
Sysinternalsツールの出入りは非常に珍しいことなので、それだけでニュースといえます。前回追加されたのは2013年3月の「Ru(Registry Usage)」、その前は2012年10月の「PsPing」です。一方、最後に引退したツールは、2011年9月の「ProcFeatures」になります(提供終了の理由は、当時リリースされた「Coreinfo v3.0」に機能が包含されているため)。
SysmonはWindowsのシステムサービスおよびドライバーとしてインストールされ、システムのスタートアップからシャットダウンまでの間、プロセスの作成、ネットワーク接続、ファイルの作成日変更のアクティビティを監視して、イベントログに記録します。
Windowsの起動直後からシャットダウンシーケンスの最終段階までのアクティビティが記録されるため、動作の不安定なシステムの原因調査、スタートアップやシャットダウンの問題調査、特定ユーザーのログオン/ログオフ問題の調査、マルウェアの挙動調査などに役立ちそうです。
本連載では紹介していませんが「Procmon(Process Monitor)」も起動直後からシャットダウンまで、プロセスのアクティビティをモニタリングできますが、こちらはいわば“プロ仕様のツール”。Procmonの場合、膨大な記録の中から問題となる情報を見つけ出すには、高度なワザや知識が要求されます(画面1)。
Sysmonは“万人向けのツール”になります。Sysmonの記録するイベントログはシンプルであり、調査も容易です。もちろん、ProcmonやSysmonによる調査で、原因の特定や問題解決ができるかどうかは、また別の話となりますが……。
Sysmonは、Windowsの「システムサービス」(%SystemRoot%\Sysmon.exe)と「BOOT_START」ドライバー(%SystemRoot%\Sysmondrv.sys)からなるツールです。Sysinternalsのサイトからダウンロードした「Sysmon.zip」を解凍して、「Sysmon.exe」を次のコマンドラインで実行すると、これらのファイルがインストールおよびシステムに登録され、ドライバーが読み込まれ、サービスが開始します(画面2)。
Sysmon -i -n
「-i」オプションはインストールのため、「-n」オプションはネットワークアクティビティ(IPv6、IPv4、TCP、UDP)を記録するためのオプションになります。
インストールされたSysmonは、削除されるまでシステムで動作し続けます。Sysmonのサービスやドライバーをシステムから削除するには、次のコマンドラインを実行します。
Sysmon -u
Sysmonの「BOOT_START」ドライバーは、次回のWindows起動時にスタートアッププロセスのかなり早い段階で他のドライバーよりも先に読み込まれ、アクティビティの監視を開始します。そして、Sysmonサービスが開始した段階で、すでに収集したスタートアップ中のログを含めて、イベントログへの書き込みを開始します。
そのため、トラブルの原因がスタートアップ中にある場合は、その痕跡が記録される可能性があります(画面3、画面4)。また、このドライバーはシャットダウンシーケンスの最終段階まで残るため、シャットダウンに時間がかかる、またはシャットダウンが完了しないなどの問題の調査にも使えるでしょう。
Sysmonは、イベントログの「Microsoft-Windows-Sysmon/Operational」に、システムのアクティビティに関する次の3種類のイベントを記録します。各イベントの詳細は、イベントプロパティの詳細から参照することが可能です。
Sysmonをシステムから削除すると「Microsoft-Windows-Sysmon/Operational」はアクティブなログではなくなり、イベントログの「アプリケーションとサービス」には表示されなくなります。しかし、ログファイルは「%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx」として残るため、同じPCまたは別のPCで保存されたログとして開いて参照することが可能です。
Sysmonをシステムから削除すると、このイベントログを表示させるための「イベントマニフェスト」もまた削除されるため、「イベントビューアー」はログを正しく表示することができません。ログを正しく表示するには、次のコマンドラインを実行してください。これにより、Sysmonのサービスやドライバーをインストールせずに、イベントマニフェストのみをインストールすることができます(画面5)。
Sysmon -m
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP:Hyper-V(Oct 2008 - Sep 2014)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手がける。個人ブログは『山市良のえぬなんとかわーるど』。
Copyright© 2014 ITmedia, Inc. All Rights Reserved.