diff --git a/website/docs/guide/File occupancy.md b/website/docs/guide/File occupancy.md
index 3c6c564..a5d28e1 100644
--- a/website/docs/guide/File occupancy.md	
+++ b/website/docs/guide/File occupancy.md	
@@ -33,6 +33,6 @@ class Program
 
 
 
-参考资1料：
+参考资料：
 
 - https://learn.microsoft.com/zh-cn/sysinternals/downloads/handle
diff --git a/website/docs/guide/System infomation.md b/website/docs/guide/System infomation.md
new file mode 100644
index 0000000..8f3e9ea
--- /dev/null
+++ b/website/docs/guide/System infomation.md	
@@ -0,0 +1,84 @@
+---
+sidebar_position: 6
+---
+
+### System infomation 系统信息
+
+#### （1）Windows平台
+
+当更新失败时，并不清楚是因为操作系统的原因还是其他原因导致的启动失败。这个时候可以使用PsInfo导出当前操作系统的信息，供开发人员进行问题排查。*PsInfo* 是一个命令行工具，它可用于收集有关本地或远程 Windows NT/2000 系统的关键信息，包括安装类型、内核版本、已注册的组织和所有者、处理器数量及其类型、物理内存量、系统的安装日期以及到期日期（如果为试用版）。
+
+#### 使用 PsInfo
+
+默认情况下，*PsInfo* 会显示本地系统的信息。 指定远程计算机名称以从远程系统获取信息。 由于 *PsInfo* 依赖于远程注册表访问来获取其数据，因此远程系统必须运行远程注册表服务，并且运行 *PsInfo* 的帐户必须有权访问远程注册表的 HKLM\System 部分。
+
+为了帮助自动更新 Service Pack，*PsInfo* 会返回系统的 Service Pack 数的值（例如 0 表示无 Service Pack，1 表示 SP 1 等）。
+
+**用法: psinfo [[\\computer[,computer[,..] | @file [-u user
+[-p psswd]]] [-h] [-s] [-d] [-c [-t delimiter]] [filter]**
+
+| 参数           | 说明                                                         |
+| :------------- | :----------------------------------------------------------- |
+| **\\computer** | 在指定的远程计算机上执行命令。 如果省略计算机名称，则命令在本地系统上运行，如果指定通配符 (\\*)，则命令将在当前域中的所有计算机上运行。 |
+| **@file**      | 在指定的文本文件中列出的每台计算机上运行命令。               |
+| **-u**         | 指定登录远程计算机的可选用户名。                             |
+| **-p**         | 指定用户名的可选密码。 如果省略此内容，系统将提示你输入隐藏密码。 |
+| **-h**         | 显示已安装的修补程序的列表。                                 |
+| **-s**         | 显示已安装的应用程序的列表。                                 |
+| **-d**         | 显示磁盘卷信息。                                             |
+| **-c**         | 以 CSV 格式打印。                                            |
+| **-t**         | -c 选项的默认分隔符为逗号，但可以使用指定的字符替代。        |
+| **filter**     | Psinfo 将仅显示与筛选器匹配的字段的数据。 例如，“psinfo service”仅列出 service pack 字段。 |
+
+#### 示例输出
+
+```c#
+C:\> psinfo \\development -h -d
+
+PsInfo v1.6 - local and remote system information viewer
+Copyright (C) 2001-2004 Mark Russinovich
+Sysinternals - www.sysinternals.com
+
+    System information for \\DEVELOPMENT:
+    Uptime: 28 days, 0 hours, 15 minutes, 12 seconds
+    Kernel version: Microsoft Windows XP, Multiprocessor Free
+    Product type Professional
+    Product version: 5.1
+    Service pack: 0
+    Kernel build number: 2600
+    Registered organization: Sysinternals
+    Registered owner: Mark Russinovich
+    Install date: 1/2/2002, 5:29:21 PM
+    Activation status: Activated
+    IE version: 6.0000
+    System root: C:\WINDOWS
+    Processors: 2
+    Processor speed: 1.0 GHz
+    Processor type: Intel Pentium III
+    Physical memory: 1024 MB
+    Volume Type Format Label Size Free Free
+    A: Removable 0%
+    C: Fixed NTFS WINXP 7.8 GB 1.3 GB 16%
+    D: Fixed NTFS DEV 10.7 GB 809.7 MB 7%
+    E: Fixed NTFS SRC 4.5 GB 1.8 GB 41%
+    F: Fixed NTFS MSDN 2.4 GB 587.5 MB 24%
+    G: Fixed NTFS GAMES 8.0 GB 1.0 GB 13%
+    H: CD-ROM CDFS JEDIOUTCAST 633.6 MB 0%
+    I: CD-ROM 0%
+    Q: Remote 0%
+    T: Fixed NTFS Test 502.0 MB 496.7 MB 99%
+    OS Hot Fix Installed
+    Q147222 1/2/2002
+    Q309521 1/4/2002
+    Q311889 1/4/2002
+    Q313484 1/4/2002
+    Q314147 3/6/2002
+    Q314862 3/13/2002
+    Q315000 1/8/2002
+    Q315403 3/13/2002
+    Q317277 3/20/2002
+```
+
+
+
+官方文档：https://learn.microsoft.com/zh-cn/sysinternals/downloads/psinfo
\ No newline at end of file
diff --git a/website/docs/guide/Systemlog.md b/website/docs/guide/Systemlog.md
new file mode 100644
index 0000000..fb48082
--- /dev/null
+++ b/website/docs/guide/Systemlog.md
@@ -0,0 +1,42 @@
+---
+sidebar_position: 5
+---
+
+### System log 系统日志
+
+升级失败时可能会出现运行启动失败、驱动安装失败等问题。那么可以使用Sysmon工具导出系统事件日志。*系统监视器* (*Sysmon*) 是一项 Windows 系统服务，也是一个设备驱动程序，一旦安装在系统上，就会在系统重新启动后一直驻留，以监视系统活动并将其记录到 Windows 事件日志中。 它提供有关进程创建、网络连接和文件创建时间更改的详细信息。 通过使用 [Windows 事件收集](https://msdn.microsoft.com/library/windows/desktop/bb427443(v=vs.85).aspx)或 [SIEM](https://en.wikipedia.org/wiki/security_information_and_event_management) 代理收集生成的事件，然后对事件进行分析，你可识别恶意或异常活动，并了解入侵者和恶意软件如何在网络上运行。 该服务作为[受保护的进程](https://learn.microsoft.com/windows/win32/services/protecting-anti-malware-services-#system-protected-process)运行，从而禁止广泛的用户模式交互。
+
+
+
+### Sysmon 功能概述
+
+*Sysmon* 包括以下功能：
+
+- 记录当前进程和父进程中使用完整命令行创建的进程。
+- 记录使用 SHA1（默认）、MD5、SHA256 或 IMPHASH 的进程映像文件的哈希。
+- 可以同时使用多个哈希。
+- 在进程内创建事件之中包含一个进程 GUID，当 Windows 重新使用进程 ID 时，允许事件的相关性。
+- 在每个事件中包含会话 GUID，允许同一登录会话上事件的相关性。
+- 记录驱动程序或 DLL 的加载及其签名与哈希。
+- 记录磁盘和卷的原始读取访问打开次数。
+- （可选）记录网络连接，包括每个连接的源进程、IP 地址、端口数量、主机名和端口名称。
+- 检测文件创建时间的更改，以了解文件真正创建的时间。 修改文件创建时间戳是恶意软件惯用的伎俩来掩盖其轨道。
+- 如果注册表中发生更改，则自动化重新加载配置。
+- 进行规则筛选以动态包含或不包含某些事件。
+- 在启动进程之初生成事件，以捕获相当复杂的内核模式恶意软件进行的活动。
+
+
+
+#### （1）Windows平台
+
+下载地址： https://download.sysinternals.com/files/Sysmon.zip
+
+
+
+#### （2）Linux平台
+
+下载地址：https://github.com/Sysinternals/SysmonForLinux
+
+
+
+官方文档：https://learn.microsoft.com/zh-cn/sysinternals/downloads/sysmon