Sysmon 是微软 Sysinternals 套件中一款功能强大的系统监控工具，能够详细记录进程创建、网络连接等关键系统事件。从 Windows 11 Build 26220 版本开始，系统已原生集成 Sysmon 功能，用户可以直接在系统中启用并体验它。下面我们将详细介绍在 Windows 11 中启用 Sysmon 系统监控工具的具体操作步骤。

启用 Sysmon 功能

方法一：通过【Windows 功能】启用

1.按下 Win + R 快捷键打开【运行】对话框，执行 optionalfeatures 命令打开【Windows 功能】窗口。

2.在列表中找到并勾选【Sysmon】复选框，然后点击【确定】。

方法二：通过 DISM 命令安装

1.右键点击【开始】菜单，选择【终端管理员】，以管理员权限打开 Windows 终端。

2.按 Ctrl + Shift + 2 快捷键，切换到命令提示符窗口。

3.根据你的需要，执行以下 DISM 命令：

安装 Sysmon 工具：

DISM /Online /Enable-Feature /FeatureName:“Sysmon”

卸载 Sysmon 工具：

DISM /Online /Disable-Feature /FeatureName:“Sysmon”

方法三：通过 PowerShell 安装

1. 右键点击【开始】菜单，选择【终端管理员】，以管理员权限打开 Windows 终端。

2.按 Ctrl + Shift + 1 快捷键，切换到 PowerShell 窗口。

3.根据你的实际需求，执行以下命令：

安装 Sysmon 工具：

Enable-WindowsOptionalFeature -Online -FeatureName Sysmon

卸载 Sysmon 工具：

Disable-WindowsOptionalFeature -Online -FeatureName Sysmon

启用 Sysmon 系统监控

启用 Windows 功能只是第一步。Sysmon 还需要以系统服务和驱动的形式常驻运行，才能真正开始记录进程创建、网络连接、驱动加载等关键安全事件。

安装 Sysmon 服务 + 驱动：

sysmon -i

卸载 Sysmon 监控：

sysmon -u