시스템 모니터(Sysmon)는 시스템에 설치하는 윈도우 시스템 서비스이자 장치 드라이버입니다. 시스템 재부팅 시에도 계속 상주하여 Windows 이벤트 로그에 시스템 활동을 모니터링하고 기록합니다. 프로세스 만들기, 네트워크 연결 및 파일 생성 시간 변경에 대한 자세한 정보를 제공합니다.
Tip
2026년 2월부터 Sysmon은 Windows 11의 내장 선택 기능으로 제공됩니다. 자세한 내용은 Sysmon 개요를 참조하세요.
Sysinternals 독립 실행형 문서를 찾고 계신가요? Sysinternals Sysmon을 참조하세요.
Syntax
sysmon [-i [<configfile>]] [-c [<configfile>]] [-m] [-s] [-u [force]] [-accepteula]
Parameters
| Parameter | Description |
|---|---|
-i [<configfile>] |
서비스와 드라이버를 설치합니다. 선택 사항으로 구성 파일을 포함할 수 있습니다. |
-c [<configfile>] |
설치된 Sysmon 드라이버의 구성을 업데이트하거나, 다른 인수가 제공되지 않으면 현재 구성을 덤프합니다. 선택 사항으로 구성 파일을 포함할 수 있습니다. |
-m |
이벤트 매니페스트를 설치합니다. 서비스 설치는 암묵적으로 이 작업을 수행합니다. |
-s [<schemaversion>] |
지정된 버전의 구성 스키마 정의를 출력합니다. 모든 스키마 버전을 덤프하도록 지정 all 하세요. 기본값은 최신 상태입니다. |
-u [force] |
서비스와 드라이버를 삭제합니다. 이 기능을 사용하면 -u force 일부 부품이 설치되지 않았음에도 불구하고 삭제가 진행됩니다. |
-accepteula |
설치 시 최종 사용자 라이선스 계약서(EULA)를 자동으로 수락합니다. |
-? config |
구성 파일에 대한 더 많은 정보를 표시합니다. |
Remarks
- 이벤트 로그는 로그에
Applications and Services Logs/Microsoft/Windows/Sysmon/Operational저장됩니다. - 설치 또는 삭제 옵션은 재부팅이 필요 없습니다.
- 설정을 기본 설정
sysmon -c --으로 재설정하려면 .
Examples
기본 설정으로 Sysmon을 설치하려면 다음 명령을 실행하세요:
sysmon -accepteula -i
구성 파일을 가지고 Sysmon을 설치하려면 다음 명령을 실행하세요:
sysmon -accepteula -i c:\windows\config.xml
현재 구성을 덤프하려면 다음 명령을 실행하세요:
sysmon -c
설정을 기본 설정으로 재설정하려면 다음 명령을 실행하세요:
sysmon -c --
구성 파일로 Sysmon을 재구성하려면 다음 명령을 실행하세요:
sysmon -c c:\windows\config.xml
구성 스키마를 표시하려면 다음 명령을 실행하세요:
sysmon -s
특정 버전의 구성 스키마를 표시하려면 다음 명령을 실행하세요:
sysmon -s 4.50
모든 구성 스키마 버전을 표시하려면 다음 명령을 실행하세요:
sysmon -s all
Sysmon을 제거하려면 다음 명령을 실행하세요:
sysmon -u