Windowsのシャットダウン時、何をしているのか“のぞき見”したい！：山市良のうぃんどうず日記（136）（2/2 ページ）

[山市良，テクニカルライター]

Sysmonでプロセスの作成と終了をイベントログに記録する

　Procmonのブートログは、システムの詳細なアクティビティーを記録できますが、監視負荷が大きいため、調査が必要なときに有効化します。対して、Sysmonは常にシステムを監視し、監視データをイベントログに記録します。

　Sysmon（System Monitorの略）は、Windowsのサービス（Sysmon）およびデバイスドライバ（SysmonDrv）としてシステムにインストールされます。一度インストールされると、システムのブート初期段階からシャットダウン処理の途中まで、システムのアクティビティーを監視し続けます。この監視は、Sysmonをアンインストールするまで続きます。

　Sysmonを「-i」オプション付きで実行すると、サービスとドライバがシステムにインストールされます（画面4）。「-u」オプション付きで実行すると、アンインストールされます。「-c」オプションは、現在のSysmonの構成を表示または変更します。

画面4　「Sysmon -i」を実行すると、Sysmonがシステムにインストールされ、既定の構成で監視が始まる

　詳細な構成については説明を省きますが、既定ではプロセスの作成（イベントID 1）と終了（イベントID 5）、ドライバの読み込み（イベントID 6）、Sysmonサービスの状態変化（イベントID 4）を「Microsoft-Windows-Sysmon/Operational」ログに記録します（画面5）。

画面5　監視されたアクティビティーは、イベントログの「Microsoft-Windows-Sysmon/Operational」に記録される。ブート時の監視開始は、イベントID 4のSysmonサービスの開始で判断できる

　オプションでネットワーク接続の状況監視、特定のプロセスだけを対象とした監視、プロセスに対するモジュールの読み込み、リモートスレッドの作成、レジストリアクセス、WMI（Windows Management Instrumentation）イベントの監視などを構成できます。

　Procmonのブートログに比べれば、Sysmonの監視負荷は高くありません。しかし、Sysmonの構成によっては、過度な監視につながる場合もあります。詳細レベルで監視を行う場合は、特定のプロセスだけを対象とするなどの工夫が必要になります。また、大量のログが記録されることになるので、「Microsoft-Windows-Sysmon/Operational」ログの最大サイズや上書き設定を適切に調整する必要もあります。

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（Oct 2008 - Sep 2016）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』（日経BP社）。