Sysmon(System Monitor)是微软 Sysinternals 免费开源的终端安全监控工具,以系统服务 + 驱动形式常驻,深度记录进程、网络、文件、注册表等核心行为日志,用于威胁狩猎、入侵溯源与故障排查,支持 Windows/Linux,轻量无依赖Microsoft Learn。
核心功能
进程全链路监控:记录进程创建 / 终止、命令行、父进程、镜像哈希(MD5/SHA256)Microsoft Learn。
网络行为审计:捕获 TCP/UDP 连接、DNS 查询,溯源恶意外联与 C2 通信。
文件与注册表追踪:监控文件创建 / 删除 / 时间篡改、注册表增删改,覆盖关键路径。
恶意行为检测:识别无文件攻击、远程线程注入、WMI 滥用、驱动加载等高危行为。
高稳定低占用:受保护进程运行,抗篡改;自定义配置过滤日志,减少噪音Microsoft Learn。
适配场景
安全运营:威胁狩猎、入侵溯源、恶意软件分析。
运维排障:进程异常、网络攻击、系统篡改行为审计。
合规审计:终端行为日志留存,满足等保与溯源要求。
常见用法包括简单的命令行选项来安装和卸载Sysmon,以及检查和修改其配置:
安装: sysmon64 -i [<configfile>]
更新配置: sysmon64 -c [<configfile>]
安装事件清单: sysmon64 -m
打印模式: sysmon64 -s
卸载: sysmon64 -u [force]