一个用于 Windows 安全事件排查和日志分析的轻量工具。
日常安全服务工作中,上机排查时经常需要查看各类系统事件、安全日志、进程网络等传统 Windows 工具比较分散。本工具旨在将常用的取证分析功能整合到一起,方便快速掌握主机安全状态。
- Sysmon 部署管理:安装/卸载 Sysmon,配置规则(需自行从微软下载 Sysmon)
- 事件日志采集:从 Security、System、Application、Sysmon 等日志源采集事件
- 可疑事件标记:对事件打标签、加白名单,降低误报
- 攻击链分析:基于 Windows 事件日志还原攻击时间线
- 取证快照:快速导出进程列表、网络连接、服务、计划任务、注册表持久化项等
- IOC 提取:从文本或事件中提取 IP、域名、哈希等指标
- Windows 系统(Windows 10 / Windows Server 2016 及以上)
- 管理员权限
- Sysmon(需自行从 Microsoft 下载,程序目录下有对应 exe 即可)
兼容性说明:本项目提供的预编译程序基于 Go 1.22 构建。Go 1.21 起官方已不再支持 Windows 7/8/8.1 及 Server 2008 R2/2012,因此预编译版本仅保证在 Windows 10 / Server 2016 及以上运行。如有旧系统需求,可自行使用较低版本 Go 编译源码(不保证功能兼容)。
.\build.batcd outputs\release
.\run.batSysmon 是 Microsoft Sysinternals 出品的系统监控工具,功能强大但需要手动下载。本工具不提供 Sysmon 下载,请自行前往 Microsoft Sysinternals 下载。
架构说明:Sysmon 官方压缩包内含
Sysmon64.exe(x64)和Sysmon.exe(x86),不提供 ARM64 版本。由于 Sysmon 需加载内核驱动,x64 驱动无法在 ARM64 内核上运行,因此 Sysmon 目前不支持 Windows ARM64。本工具的 Sysmon 管理功能仅在 x64 和 x86 系统上可用,ARM64 用户可使用事件采集、取证快照、IOC 提取等其余功能。
- 数据存储在本地
sentinelx.db,不上传到任何外部服务器 - 本工具按"原样"提供,使用后果自负
GPLv3