添加Sysmon应用

Sysmon(系统监控)，安装在系统上时，审核系统的活动，包括注册表活动、文件活动、进程活动、网络驱动程序活动等。

安装了Sysmon的设备可以作为Sysmon应用添加，以便将事件分类到不同的报表中。

将设备添加为Sysmon应用程序的步骤如下所示：

• 点击设置 > 日志源配置 > 应用程序。
• 点击其他应用源。
• 应用类型选择Sysmon应用。
• 输入设备的名称，然后点击添加。要添加的设备可以是具有凭据的新设备，也可以是已存在的设备。

搜索

在搜索标签中，您可以通过点击下拉框并向下滚动来搜索Sysmon应用日志。

要从Sysmon日志应用日志中获得更多信息，您可以从日志中提取或创建自定义/新字段。点击此处了解更多信息。

EventLog日志配置

请注意，当设备作为Sysmon应用程序添加时，这些配置将自动添加，前提是凭据具有访问注册表和添加注册表项的权限。如果未自动配置，则必须添加并启用此键才能进行日志记录。

在注册表中添加注册表项的步骤

使用命令行窗口，打开打印服务器计算机的注册表编辑器'regedit'。
进入Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\
右键点击eventlog，点击新建> 项。将该项的名称命名为Microsoft-Windows-Sysmon/Operational。