Sysmon (System Monitor) không chỉ là một tiện ích giám sát thông thường. Đây là một công cụ mạnh mẽ từ Sysinternals, có khả năng ghi lại chi tiết từng hoạt động của hệ thống và lưu trữ chúng trực tiếp vào Windows Event Log. Với Sysmon, các quản trị viên có thể theo dõi sát sao các tiến trình khởi chạy, kết nối mạng, thay đổi tệp, và vô số sự kiện khác, giúp nhanh chóng phát hiện bất kỳ hoạt động đáng ngờ nào. Dưới đây là hướng dẫn chi tiết để bạn kích hoạt Sysmon trên Windows 11.

Kích hoạt Sysmon trên Windows 11 qua Settings

Đây là phương pháp trực quan nhất để bắt đầu với Sysmon, tận dụng giao diện người dùng của Windows 11.

1. Mở Optional Features

Đầu tiên, bạn cần truy cập vào cài đặt hệ thống. Mở ứng dụng Settings, sau đó chọn mục System. Trong phần cài đặt hệ thống, tìm và nhấn chọn Optional features ở bên phải.

Hướng dẫn kích hoạt công cụ Sysmon trên Windows 11

2. Tìm và chọn Sysmon

Trong giao diện Optional features, bạn sẽ thấy một tùy chọn là More Windows features. Nhấn vào đây để mở cửa sổ Windows Features truyền thống, nơi chứa nhiều tính năng hệ thống bổ sung.

Hướng dẫn kích hoạt công cụ Sysmon trên Windows 11

Trong danh sách các tính năng mới, bạn chỉ cần tìm và tích chọn vào ô Sysmon để kích hoạt nó cho máy tính của mình. Sau đó nhấn OK để áp dụng.

Hướng dẫn kích hoạt công cụ Sysmon trên Windows 11

3. Hoàn tất cài đặt Sysmon

Sau khi kích hoạt tính năng thông qua Settings, bạn cần thực hiện một bước cuối cùng để hoàn tất quá trình cài đặt Sysmon. Mở Terminal với quyền Admin (Windows Terminal, Command Prompt hoặc PowerShell đều được) và nhập lệnh sau:

sysmon -i

Hướng dẫn kích hoạt công cụ Sysmon trên Windows 11

Kích hoạt Sysmon bằng Command Prompt

Nếu bạn là người thích dùng dòng lệnh, Command Prompt là một lựa chọn hiệu quả để kích hoạt Sysmon.

  • Đầu tiên, mở Command Prompt với tùy chọn Run as administrator.
  • Để kích hoạt tính năng này, bạn nhập lệnh sau và nhấn Enter:
Dism /Online /Enable-Feature /FeatureName:Sysmon

Hướng dẫn kích hoạt công cụ Sysmon trên Windows 11

Sau khi thấy thông báo xác nhận tính năng đã được kích hoạt thành công, bạn tiếp tục nhập lệnh dưới đây để cài đặt Sysmon trên hệ thống:

sysmon -i

Kích hoạt Sysmon qua PowerShell

PowerShell cung cấp một cách thức mạnh mẽ và linh hoạt để quản lý các tính năng hệ thống, bao gồm cả Sysmon.

  • Mở Windows PowerShell bằng quyền Admin.
  • Nhập lệnh sau để kích hoạt Sysmon và nhấn Enter:
Enable-WindowsOptionalFeature -Online -FeatureName Sysmon

Hướng dẫn kích hoạt công cụ Sysmon trên Windows 11

Sau khi PowerShell thông báo kích hoạt thành công, bạn cần chạy lệnh cài đặt để hoàn tất:

sysmon -i

Xác minh Sysmon đang hoạt động

Sau khi đã kích hoạt và cài đặt Sysmon, việc kiểm tra xem nó có đang hoạt động đúng cách hay không là rất quan trọng để đảm bảo bạn nhận được dữ liệu giám sát cần thiết.

  • Mở hộp thoại Run (nhấn Win + R), sau đó nhập eventvwr.msc và nhấn OK. Thao tác này sẽ mở Event Viewer.
  • Trong Event Viewer, điều hướng theo đường dẫn sau:

Applications and Services Logs > Microsoft > Windows > Sysmon > Operational

Hướng dẫn kích hoạt công cụ Sysmon trên Windows 11

Nếu bạn thấy các sự kiện được ghi lại và hiển thị trong giao diện này, điều đó có nghĩa là công cụ Sysmon đã được kích hoạt và đang hoạt động thành công trên hệ thống của bạn. Giờ đây, bạn có thể bắt đầu cấu hình Sysmon với các quy tắc tùy chỉnh để giám sát chính xác những gì bạn cần.