В ноябре 2025 года Microsoft объявила о планах интегрировать инструмент Sysmon из набора Sysinternals в состав операционных систем Windows 11 и Windows Server 2025. Ожидалось, что это произойдёт в течение 2026 года, но точные сроки не назывались.
Теперь команда Windows Insider сообщила, что Sysmon стал доступен в качестве необязательного компонента в инсайдерских сборках Windows 11 для каналов Dev и Beta под номерами 26300.7733 и 26220.7752 соответственно.
Марк Руссинович, создатель Sysinternals, объяснил в блоге Windows IT Pro, что Sysmon поддерживает пользовательские файлы конфигурации для фильтрации событий, а все регистрируемые данные направляются в журнал событий Windows.
Встроенный Sysmon по умолчанию отключен и должен быть активирован вручную.
- Перейдите в «Параметры» → «Система» → «Дополнительные компоненты» → «Другие компоненты Windows» и отметьте Sysmon, или используйте PowerShell/командную строку:
Dism /Online /Enable-Feature /FeatureName:Sysmon - Чтобы завершить установку, выполните в PowerShell или командной строке следующую команду:
sysmon -i
Примечание. Если вы ранее устанавливали Sysmon с веб-сайта, его необходимо удалить перед включением интегрированного Sysmon.
Sysmon позволяет отслеживать системную активность, включая создание процессов, сетевые соединения и файловые операции. Администраторы могут развертывать собственные XML-файлы конфигурации для мониторинга конкретных действий, таких как создание исполняемых файлов в назначенных каталогах или DNS-запросы. Ключевые идентификаторы событий включают создание процесса (ID 1), сетевую активность (ID 3) и попытки доступа к процессу (ID 8).
