我安裝了系統監視器使用以下命令(如文件所示)
sysmon64.exe -accepteula -i
我可以確認它正在使用 PowerShell 中的命令運行Get-Service Sysmon64。但是我看不到任何東西應用程式和服務日誌/Microsoft/Windows/Sysmon/操作在事件檢視器中,如文件中所述
在 Vista 及更高版本上,事件儲存在「應用程式和服務日誌/Microsoft/Windows/Sysmon/Operational」中,而在較舊的系統上,事件將寫入系統事件日誌。事件時間戳記採用 UTC 標準時間。
即使已經發生了很多事件,我可以透過Get-WinEvent -LogName 'microsoft-windows-sysmon/operational'在 PowerShell 中運行來列出它們。我在System事件日誌中也沒有看到它們
這是為什麼?
我的事件檢視器中的「應用程式和服務日誌/Microsoft/Windows」分支僅包含這些資料夾
