如何在 Windows 11 中启用 Sysmon 系统监控工具

Sysmon 是许多 IT Pro、安全专家和 Windows 高级玩家手中的必备利器。你可以把它看作系统里的「黑匣子」，或者一台全天候运行的监控摄像头——它能事无巨细地记录进程启动、网络连接建立、文件变更等关键行为，并将这些蛛丝马迹写入到「事件日志」当中。

为了方便管理员使用，从 Windows 11 Build 26220 版本开始，系统中已经原生集成了 Sysmon 功能。这就意味着，不需要你再需要单独下载 Sysinternals 工具包，就能直接在系统中启用并体验它。

在 Windows 11 中启用 Sysmon 功能

方法 1：通过「Windows 功能」（推荐）

1按Windows + R快捷键打开「运行」对话框，执行optionalfeatures打开「Windows 功能」窗口。

2在列表中找到并勾选「Sysmon」复选框，然后点击「确定」。

方法 2：通过 PowerShell 安装

1右键点击「开始」菜单，选择「终端管理员」，以管理员权限打开 Windows 终端。

2按Ctrl + Shift + 1快捷键，切换到 PowerShell 窗口。

3根据你的实际需求，执行以下命令：

• 安装 Sysmon 工具：

Enable-WindowsOptionalFeature -Online -FeatureName Sysmon

• 卸载 Sysmon 工具：

Disable-WindowsOptionalFeature -Online -FeatureName Sysmon

方法 3：通过 DISM 命令安装

1右键点击「开始」菜单，选择「终端管理员」，以管理员权限打开 Windows 终端。

2按Ctrl + Shift + 2快捷键，切换到命令提示符窗口。

3根据你的需要，执行以下 DISM 命令：

• 安装 Sysmon 工具：

DISM /Online /Enable-Feature /FeatureName:"Sysmon"

• 卸载 Sysmon 工具：

DISM /Online /Disable-Feature /FeatureName:"Sysmon"

启用 sysmon 系统监控

启用 Windows 功能只是第一步。Sysmon 还需要以系统服务和驱动的形式常驻运行，才能真正开始记录进程创建、网络连接、驱动加载等关键安全事件。

• 安装 Sysmon 服务 + 驱动：

sysmon -i

• 卸载 Sysmon 监控：

sysmon -u

随着微软将该工具原生集成，在 Windows 11 中启用 Sysmon 会变得前所未有的简单。这就好比给系统装上了一台原生「行车记录仪」，让你对每一次进程启动与网络连接都了如指掌。