每天至少一次,我的笔记本电脑上的集成摄像头在会议中停止工作。我可以禁用并重新启用摄像头以使其再次工作,这让我认为有东西在使用我的摄像头,所以我无法为会议初始化它。我查看了所有应用程序,似乎没有任何东西在使用我的摄像头,所以我正在尝试调查此事。我正尝试使用这个帖子. 有了这个,我应该能够检测到我的相机何时打开/关闭或被某些东西使用。
我一直无法让注册表修改显示在事件日志中。打开/关闭相机后,我可以看到相机上次使用的更新的 DWORD。我还手动修改了其他注册表值,并添加和删除了属性,但事件查看器中什么也没有显示。
我已经下载并安装了 Sysmon。我可以看到它正在运行,并且可以查看事件日志。为了减少噪音,我修改了配置文件以排除所有 ProcessCreate、ProcessTerminate、NetworkConnect 和 DriverLoad 事件并包含所有 RegistryEvents。我尝试了各种方法,将每个包含/排除保留为其自己的命令,从而得到了如下配置文件:
Rule configuration (version 4.90):
- ProcessCreate onmatch: exclude combine rules using 'And'
- NetworkConnect onmatch: exclude combine rules using 'And'
- ProcessTerminate onmatch: exclude combine rules using 'And'
- DriverLoad onmatch: exclude combine rules using 'And'
- RegistryEvent onmatch: include combine rules using 'And'
我还将所有排除项放入具有“或”规则的规则组中,并将包含项留在规则组之外,从而产生了如下规则配置:
Rule configuration (version 4.90):
- ProcessCreate onmatch: exclude combine rules using 'Or'
- NetworkConnect onmatch: exclude combine rules using 'Or'
- ProcessTerminate onmatch: exclude combine rules using 'Or'
- DriverLoad onmatch: exclude combine rules using 'Or'
- RegistryEvent onmatch: include combine rules using 'And'
最后,为了防止 And/Or 的事情发生,我删除了所有排除项,并保留此规则配置:
Rule configuration (version 4.90):
- RegistryEvent onmatch: include combine rules using 'And'
我可以在事件查看器中看到 sysmon 属性更改,但在事件查看器中找不到任何 RegistryEvents。关于如何让注册表事件显示在我的事件日志中,有什么建议吗?如果有帮助,我可以分享我的配置文件,但由于我可以修改规则配置,所以我认为这不是问题所在。提前致谢。