ich installiertesysmonVerwenden Sie den folgenden Befehl wie dokumentiert
sysmon64.exe -accepteula -i
Und ich kann bestätigen, dass es mit dem Befehl Get-Service Sysmon64in PowerShell ausgeführt wird. Allerdings konnte ich nichts sehen inAnwendungs- und Dienstprotokolle/Microsoft/Windows/Sysmon/Operationalin der Ereignisanzeige, wie im Dokument beschrieben
Unter Vista und höher werden Ereignisse in „Anwendungs- und Dienstprotokolle/Microsoft/Windows/Sysmon/Operational“ gespeichert, und auf älteren Systemen werden Ereignisse in das Systemereignisprotokoll geschrieben. Ereigniszeitstempel sind in UTC-Standardzeit angegeben.
obwohl bereits viele Ereignisse aufgetreten sind und ich sie auflisten kann, indem ich sie Get-WinEvent -LogName 'microsoft-windows-sysmon/operational'in PowerShell ausführe. Ich sehe sie auch nicht im SystemEreignisprotokoll
Warum ist das so und wo finde ich sie in der Ereignisanzeige?
Der Zweig "Anwendungs- und Dienstprotokolle/Microsoft/Windows" in meiner Ereignisanzeige enthält nur diese Ordner
