sysmon的几个特点分享如下:
1、sysmon会跑在某个vCPU上,我电脑是8核16线程(vCPU0~vCPU15),看到总有一个vCPU的利用率比较高,而且不固定,但基本是在vCPU12~vCPU15这个范围
用windows performance recorder和 windows performance analyzer监测了下CPU排序锁定了范围,逐一排除发现是sysmon
搞得我都想给我的技嘉B550M AORUS ELITE主板对R7 5700G做超频优化了
我这颗CPU,0号、6号、7号核肯定是得特殊照顾下,一般来说大部分程序都是优先跑0号核的,而6号、7号核通过我长期观察是sysmon经常跑的核,因此这3个核要特殊照顾下
超频优化参考:https://www.zhihu.com/tardis/bd/art/349414008?source_id=1001
2、机器空载的时候,sysmon也在不断监测系统并记录日志,因此有持续不断的IO
参考这个录屏文件
3、由于sysmon频繁写磁盘,可能会对ssd寿命有一定影响
可以通过命令停止sysmon的日志
代码语言:javascript复制停止sysmon日志:wevtutil set-log "Microsoft-Windows-Sysmon/Operational" /enabled:false
启用sysmon日志:wevtutil set-log "Microsoft-Windows-Sysmon/Operational" /enabled:true
创建开机计划任务,停止sysmon的日志
schtasks /create /tn "forbid_sysmonlog" /ru SYSTEM /rl highest /tr "cmd.exe /c wevtutil set-log 'Microsoft-Windows-Sysmon/Operational' /enabled:false" /sc onstart /delay 0000:30 /f
schtasks /change /tn "forbid_sysmonlog" /st 00:00 /sd 1900/01/014、卸载sysmon的命令
代码语言:javascript复制cmd /c "C:Windowssysmon.exe -u force" 2>&1 > $null卸载sysmon,iOA又会把它装回去,iOA依赖sysmon的监测来实现功能
