Sysmon簡易使用教學帶你快速掌握這款 Windows 系統服務!本文詳解如何安裝 Sysmon、匯入設定檔及優化過濾規則。教你利用 include 與 exclude 撰寫技巧精簡連線 Log,輕鬆識別網路惡意與異常活動。
一、什麼是Sysmon?
以微軟網站上介紹來說:是一種Windows系統服務和裝置驅動程式,一旦安裝在系統上,就會在系統重新開機期間保持常駐狀態,以監視和記錄Windows事件記錄檔的系統活動
Sysmon提供有關處理序建立、網路連線,以及檔案建立時間變更的詳細資訊。藉由收集Sysmon來使用Windows事件集合或 SIEM 代理程式所產生的事件,然後分析事件,可以識別惡意或異常活動,並了解入侵者和惡意程式碼在網路上的運作方式。服務會以受保護的process的形式執行。
微軟說明上也提到,Sysmon可以補足windows eventlog不足的部分,並非是取代windows eventlog。所以是可以在重要主機上新增安裝Sysmon,來方便監控重要主機。
像是平常我們會想知道一個process被建立的過程,我們可以去看Event Log的4688,但基本上並不會紀錄process的hash,且稽核預設沒開的話也不會記錄到cmdline,所以相對應之下我們是可以利用sysmon的log看到更多資訊。

二、如何安裝Sysmon?
檔案來源以及安裝過程可以參考微軟頁面:https://learn.microsoft.com/zh-tw/sysinternals/downloads/sysmon
從微軟上下載sysmon解壓縮後可以依照自己的使用需求來安裝。
例如你可以直接下這樣的指令:
|
sysmon -i -accepteula |
即可安裝完成。

而如果手邊已經有寫好的設定檔
則可以下下方指令:
|
sysmon -i -accepteula
[設定檔] |
就算安裝時候沒有一併匯入設定檔,也可以之後利用sysmon -c 來進行匯入/更新。
三、Sysmon使用方式教學
微軟頁面上有提供相關的範例設定檔案,以及相關設定介紹的影片檔案。
本次示範是利用https://github.com/SwiftOnSecurity/sysmon-config,下載後來進行修改。

利用該範例檔案,提供的註解算是蠻詳細的,可以知道如何去快速設定一些過濾內容,並且可以直接進行修改。網路部分,因為預設是不開啟的,必須手動開啟,因此也可以利用規則上去優化來精簡收取相關連線Log。
在規則描述上,則可分別以 [include] 以及 [exclude] 來撰寫
可以只設定想要收的或是排除的部分,而在exclude與include優先順序,以exclude較大。
接著在欄位部分,微軟說明文件上有提到,預設指定相同欄位名稱條件的規則會以 OR 條件的方式運作,當然也可自行設定下列條件為類型AND or OR。
Sysmon規則設定部分,還蠻有意思的!初期設定可以參考利用別人設定好的規則,再進行優化以及取捨來更符合自己的公司需求。
設定同時也可以了解到Log相關欄位的關聯與知識,協助過濾自己真正需要的資訊。
有任何資安問題,歡迎隨時與NEITHNET團隊聯繫!
參考資料:
https://trustedsec.com/blog/building-a-detection-foundation-part-4-sysmon
https://github.com/swiftonsecurity/sysmon-config
https://learn.microsoft.com/zh-tw/sysinternals/downloads/sysmon
https://techcommunity.microsoft.com/blog/sysinternals-blog/sysmon---the-rules-about-rules/733649
https://mtfujimarathon.com/2026/wp-content/uploads/2026/05/img-originalgoods2026-02.jpg