Windows 11 26H2 原生集成 Sysmon怎么手动开启?

windows 11 现已在系统中原生集成 sysmon 功能。sysmon 功能允许您捕获有助于威胁检测的系统事件，并可使用自定义配置文件来筛选您希望监控的事件。

捕获的事件将写入 windows 事件日志，使其能够与安全应用程序配合使用，并适用于广泛的场景。

内置 sysmon 默认处于禁用状态，必须手动启用。

请前往：设置 > 系统 > 可选功能 > 更多windows功能 > 勾选“sysmon”。或在powershell或命令提示符中执行：

dism /online /enable-feature /featurename:sysmon

要完成安装，请在 powershell 或命令提示符中运行：

sysmon -i

注意：如果您已从网站安装了 sysmon，必须在启用内置 sysmon 之前将其卸载。相关文档将很快添加至 windows。sysmon 的功能保持不变。