我安装了系统监控按照文档中的说明使用以下命令
sysmon64.exe -accepteula -i
我可以确认它正在使用 PowerShell 命令运行Get-Service Sysmon64。但是我看不到任何内容应用程序和服务日志/Microsoft/Windows/Sysmon/Operational在事件查看器中如文档中所述
在 Vista 及更高版本中,事件存储在“应用程序和服务日志/Microsoft/Windows/Sysmon/Operational”中,而在较旧的系统上,事件则写入系统事件日志。事件时间戳采用 UTC 标准时间。
尽管已经发生了很多事件,我可以通过Get-WinEvent -LogName 'microsoft-windows-sysmon/operational'PowerShell 运行列出它们。但我也没有在System事件日志中看到它们
为什么会这样?在事件查看器中哪里可以找到它们?
我的事件查看器中的“应用程序和服务日志/Microsoft/Windows”分支仅包含这些文件夹
