Windows 11 26H2 版本悄悄塞了个好东西——原生集成了 Sysmon 功能。没错，就是那个安全领域大名鼎鼎的系统监控工具。现在它直接内置在系统里了，不用再费劲去第三方网站下载安装。

这个功能的核心用途，是帮你捕获那些对威胁检测至关重要的系统事件。而且你可以通过自定义配置文件，精准筛选出真正需要关注的事件，避免被海量日志淹没。

捕获到的事件会写入 Windows 事件日志，这样一来，就能和各种安全应用程序无缝配合——无论是 SIEM 平台、EDR 方案，还是自己写的分析脚本，都能直接拿来用，适用场景相当广泛。

不过要注意，内置 Sysmon 默认是禁用的，得手动开启才能用。别担心，操作并不复杂，两条路可选。

方法一：图形界面
进入 设置 > 系统 > 可选功能 > 更多Windows功能，在列表里勾选“Sysmon”，然后点击确定即可。简单直接。

方法二：命令行
如果你习惯用命令，在 PowerShell 或命令提示符（管理员）中执行下面这行就行：

Dism /Online /Enable-Feature /FeatureName:Sysmon

功能启用之后，还需要初始化配置才能让它跑起来。在 PowerShell 或命令提示符中运行：

sysmon -i

注意：如果你之前已经从网站手动安装过 Sysmon，那么必须先卸载旧版本，再启用内置版本，否则会有冲突。相关文档微软很快就会补上。Sysmon 的功能本身没有变化，只是部署方式变得更方便了。

总而言之，这次原生集成降低了 Sysmon 的部署门槛，对于安全运维和研究团队来说是个好消息。如果你已经在用 Sysmon，迁移过来也只是多一步卸载操作；如果还没用过，现在正是入坑的好时机。