Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
System Monitor (Sysmon) ist ein Windows-Systemdienst und Gerätetreiber, den man auf einem System installiert. Es bleibt bei Systemneustarts stationär, um die Systemaktivität im Windows-Ereignisprotokoll zu überwachen und zu protokollieren. Sie enthält detaillierte Informationen zu Prozesserstellungen, Netzwerkverbindungen und Änderungen an der Dateierstellungszeit.
Tip
Ab Februar 2026 ist Sysmon als integrierte optionale Funktion für Windows 11 verfügbar. Weitere Informationen finden Sie unter Sysmon-Übersicht.
Suchen Sie die eigenständige Sysinternals-Dokumentation? Siehe Sysinternals Sysmon.
Syntax
sysmon [-i [<configfile>]] [-c [<configfile>]] [-m] [-s] [-u [force]] [-accepteula]
Parameters
| Parameter | Description |
|---|---|
-i [<configfile>] |
Installiert den Service und den Treiber. Optional eine Konfigurationsdatei enthalten. |
-c [<configfile>] |
Aktualisiert die Konfiguration eines installierten Sysmon-Treibers oder löscht die aktuelle Konfiguration, falls kein weiteres Argument vorliegt. Optional eine Konfigurationsdatei enthalten. |
-m |
Installiert das Ereignismanifest. Die Serviceinstallation führt diese Aktion implizit aus. |
-s [<schemaversion>] |
Druckt die Konfigurationsschema-Definition der angegebenen Version. Gib an all , alle Schema-Versionen zu dumpen. Standardmäßig ist die neueste Version. |
-u [force] |
Deinstalliert den Service und den Treiber. Das Verwenden -u force führt dazu, dass die Deinstallation fortgesetzt wird, auch wenn einige Komponenten nicht installiert sind. |
-accepteula |
Akzeptiert bei der Installation automatisch die Endbenutzerlizenzvereinbarung (EULA). |
-? config |
Zeigt weitere Informationen zu Konfigurationsdateien an. |
Remarks
- Ereignisprotokolle werden im Logbuch
Applications and Services Logs/Microsoft/Windows/Sysmon/Operationalgespeichert. - Die Installations- oder Deinstallationsoptionen erfordern keinen Neustart.
- Um die Konfiguration auf die Standardeinstellungen zurückzusetzen, verwenden
sysmon -c --Sie .
Examples
Um Sysmon mit den Standardeinstellungen zu installieren, führen Sie folgenden Befehl aus:
sysmon -accepteula -i
Um Sysmon mit einer Konfigurationsdatei zu installieren, führen Sie folgenden Befehl aus:
sysmon -accepteula -i c:\windows\config.xml
Um die aktuelle Konfiguration zu dumpen, führen Sie folgenden Befehl aus:
sysmon -c
Um die Konfiguration auf die Standardeinstellungen zurückzusetzen, führen Sie folgenden Befehl aus:
sysmon -c --
Um Sysmon mit einer Konfigurationsdatei neu zu konfigurieren, führen Sie folgenden Befehl aus:
sysmon -c c:\windows\config.xml
Um das Konfigurationsschema anzuzeigen, führen Sie folgenden Befehl aus:
sysmon -s
Um das Konfigurationsschema für eine bestimmte Version anzuzeigen, führen Sie folgenden Befehl aus:
sysmon -s 4.50
Um alle Konfigurationsschema-Versionen anzuzeigen, führen Sie folgenden Befehl aus:
sysmon -s all
Um Sysmon zu deinstallieren, führen Sie folgenden Befehl aus:
sysmon -u