Sysmon 是微软 Sysinternals 套件中的强大系统监控工具,能够详细记录进程创建、网络连接等系统关键事件。从 Win11 Build 26220 版本开始,系统中已经原生集成 Sysmon 功能,用户能直接在系统中启用并体验它。下面由在下给大家详细介绍在 Win11 中启用 Sysmon 系统监控工具的方法步骤。
启用 Sysmon 功能
方法一:通过【Windows 功能】
1. 按 Win + R 快捷键打开【运行】对话框,执行 optionalfeatures 打开【Windows 功能】窗口。
2. 在列表中找到并勾选【Sysmon】复选框,然后点击【确定】。
方法二:通过 DISM 命令安装
1. 右键点击【开始】菜单,选择【终端管理员】,以管理员权限打开 Windows 终端。
2. 按 Ctrl + Shift + 2 快捷键,切换到命令提示符窗口。
3. 根据你的需要,执行以下 DISM 命令:
安装 Sysmon 工具:
DISM /Online /Enable-Feature /FeatureName:“Sysmon”
卸载 Sysmon 工具:
DISM /Online /Disable-Feature /FeatureName:“Sysmon”
方法三:通过 PowerShell 安装
1. 右键点击【开始】菜单,选择【终端管理员】,以管理员权限打开 Windows 终端。
2. 按 Ctrl + Shift + 1 快捷键,切换到 PowerShell 窗口。
3. 根据你的实际需求,执行以下命令:
安装 Sysmon 工具:
Enable-WindowsOptionalFeature -Online -FeatureName Sysmon
卸载 Sysmon 工具:
Disable-WindowsOptionalFeature -Online -FeatureName Sysmon
启用 Sysmon 系统监控
启用 Windows 功能只是第一步。Sysmon 还需要以系统服务和驱动的形式常驻运行,才能真正开始记录进程创建、网络连接、驱动加载等关键安全事件。
安装 Sysmon 服务 + 驱动:
sysmon -i
卸载 Sysmon 监控:
sysmon -u
以上就是win11 启用 Sysmon 系统监控工具的方法的内容了,文章的版权归原作者所有,如有侵犯您的权利,请及时联系本站删除,更多相关ysmon的资讯,请关注收藏西西下载站。
