Sysinternals Sysmon 8.0.0 im Einsatz? Auf 8.0.4 updaten!

Noch ein kurzer Tipp für Admins, die Sysmon aus den Sysinternals-Tools zur Systemüberwachung verwenden. In der Version 8.0.0 gibt es ein Memory-Leak, welches in der aktualisierten Version 8.0.4 beseitigt wurde.


Anzeige

Ein kurzer Blick auf Sysmon

Sysmon ist Bestandteil der kostenlosen Sysinternals-Tools von Microsoft. Das Tool ist zur Systemanalyse ganz hilfreich. Laut Beschreibung stellt es folgende Funktionalität bereit:

System Monitor (Sysmon) ist ein Windows-Systemdienst und Gerätetreiber, der, sobald er auf einem System installiert ist, über Systemneustarts hinweg resident bleibt, um Systemaktivitäten zu überwachen und im Windows-Ereignisprotokoll zu protokollieren.

Sysmon liefert detaillierte Informationen über Netzwerkverbindungen, Prozesserstellungen und Änderungen der Dateierstellungszeit. Indem man die von Sysmon erzeugten Ereignisse mit Hilfe von Windows Event Collection oder SIEM-Agenten sammelt und anschließend analysiert, lassen sich bösartige oder anomale Aktivitäten identifizieren, um zu verstehen, wie Eindringlinge und Malware im Netzwerk arbeiten.

Allerdings kann Sysmon weder eine Analyse der von ihm erzeugten Ereignisse durchführen, noch sich vor Angreifern schützen oder verstecken.

Ein Memory-Leak in Sysmon 8.x

Bleeping Computer berichtet hier von einem Problem in Sysmon 8.x. In der neuesten Version des Dienstprogramms Sysmon existiert ein Speicherleck, das dazu führen könnte, dass einem Computer der Speicher ausgeht. Dann stürzt der Computer ab, sobald er seine Konfigurationsdatei routinemäßig durch eine geplante Aufgabe oder auf andere Weise aktualisiert. Der Bug wird bereits seit Sommer 2018 in diesem Forenthread diskutiert. Er wird nur bemerkt, wenn Sysmon sehr lange (30 Tage) in Server-Umgebungen läuft.


Anzeige

Benutzer @iostorrm weist in obigem Tweet auf das Memory-Leak in Sysmon 8.0.0 und möglicherweise 8.0.2 hin. Er empfiehlt das Upgrade auf Sysmon 8.0.4, und Marc Russinovich schreibt am 19. Dezember 2018, dass das Memory-Leak in dieser Version behoben sei. Am 27.12.2018 wurde die neue Version freigegeben und kann über die nachfolgend verlinkte Webseite heruntergeladen werden.

Download Sysinternals Tools


Anzeige

Dieser Beitrag wurde unter Problemlösung, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.