当前日期:2023年5月25日 00:06:30
系统监视器 v14.16 - 系统活动监视器 作者:Mark Russinovich 和 Thomas Garnier 版权所有 (C) 2014-2023 微软公司 使用 libxml2。libxml2 版权所有 (C) 1998-2012 Daniel Veillard。保留所有权利。 Sysinternals - www.sysinternals.com
用法:
安装:Sysmon64.exe -i [<configfile>]
更新配置:Sysmon64.exe -c [<configfile>]
安装事件清单:Sysmon64.exe -m
打印模式:Sysmon64.exe -s
卸载:Sysmon64.exe -u [force]
-c 更新已安装的 Sysmon 驱动程序的配置或转储当前配置(如果没有提供其他参数)。可选择使用配置文件。
-i 安装服务和驱动程序。可选择使用配置文件。
-m 安装事件清单(也会在服务安装时完成)。
-s 打印指定版本的配置架构定义。指定“all”以转储所有架构版本(默认为最新版本)。
-u 卸载服务和驱动程序。添加 force 将导致即使未安装某些组件,卸载仍然进行。
该服务立即记录事件,驱动程序作为引导启动驱动程序安装,以便在服务启动时从启动时就捕获活动并写入事件日志。
在 Vista 及更高版本上,事件存储在“应用程序和服务日志/ Microsoft / Windows / Sysmon / 操作”。在旧系统上,事件将写入“系统”事件日志中。
使用“-? config”命令查看配置文件文档。Sysinternals 网站提供更多示例。
在安装过程中指定 -accepteula 以自动接受最终用户许可协议,否则您将被要求互动地接受它。
无论安装还是卸载都不需要重新启动计算机。