Sysmon笔记

官网介绍

系统监视器（）是系统服务和设备驱动程序，一旦安装在系统上，便会驻留在系统重新引导期间，以监视系统活动并将其记录到事件日志中。它提供有关进程创建，网络连接以及文件创建时间更改的详细信息。通过收集使用 Event 或 SIEM 代理生成的事件并随后对其进行分析，您可以识别恶意或异常活动，并了解入侵者和恶意软件如何在您的网络上运行。请注意，不提供对其生成的事件的分析，也不会尝试保护自己或使其免受攻击者的侵害。

#sysmon下载
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon#sysmon安装
Sysmon.exe -i -n  #32位
Sysmon64.exe -i -n  #64位#sysmon配置文件
sysmon -c  #查看配置
sysmon -c xx.xml  #xx.xml为sysmon配置文件，详见下面“收集全部事件的配置文件”#sysmon卸载
sysmon -u