Cómo usar Sysmon en Windows 11: habilitar, instalar y desinstalar
Sysmon (Monitor del Sistema) es una de esas herramientas que suenan sofisticadas, pero que realmente te ayudan a comprender lo que sucede entre bastidores en Windows 11. Registra información detallada como la creación de procesos, la actividad de red, los cambios en archivos y la carga de controladores, aspectos que la mayoría de las herramientas predeterminadas no abordan. Si estás solucionando problemas o intentando detectar actividad extraña sin la sofisticada configuración empresarial, Sysmon puede serte de gran ayuda. Pero, sí, no es exactamente listo para usar; tienes que instalarlo, configurarlo y saber dónde buscar. A veces, parece que Windows dificulta activamente la obtención de esta información, especialmente con la forma en que se almacenan los registros y la necesidad de configuraciones personalizadas, así que un poco de paciencia (y conocimientos de línea de comandos) ayuda mucho.
¿Cómo habilitar, instalar y usar Sysmon en Windows 11?
Descargar Sysmon desde la fuente oficial
Primero, visita la página de Microsoft Sysinternals. Asegúrate de descargarlo directamente desde allí (no desde sitios web sospechosos de terceros), ya que Windows suele incluir malware o versiones desactualizadas si no tienes cuidado. El archivo ZIP suele llamarse Sysmon.zip. Una vez descargado, extráelo a una carpeta que recuerdes, como Descargas. Dentro, encontrarás Sysmon64.exe para Windows de 64 bits (probablemente el tuyo) o Sysmon.exe para Windows de 32 bits. Este es el ejecutable que ejecutarás desde la línea de comandos.
Abra el símbolo del sistema como administrador
Sysmon no se instalará correctamente sin derechos de administrador; por supuesto, Windows lo dificulta. Pulsa el botón Inicio, escribe cmd, haz clic derecho en Símbolo del sistema y selecciona Ejecutar como administrador. Acepta el mensaje del Control de cuentas de usuario (UAC).Ahora, apunta la terminal a la ubicación donde extrajiste Sysmon.
- Utilice el
cdcomando para cambiar de directorio, por ejemplo,cd C:\Users\\Downloads
Instalar Sysmon con la configuración predeterminada
Si solo desea ver información básica y no quiere preocuparse por el filtrado, ejecute esto:
Sysmon64.exe -i
Esto instalará Sysmon con la configuración predeterminada y comenzará a registrar registros inmediatamente. La primera vez, podría aparecer un acuerdo de licencia; simplemente acéptelo. En algunas configuraciones, podría fallar brevemente o mostrar poca información al principio, pero después de reiniciar o unos minutos, debería empezar a ver registros en el Visor de eventos.
Configurar Sysmon con una configuración personalizada
Sinceramente, los registros predeterminados pueden saturarse rápidamente, especialmente si se realiza una monitorización exhaustiva. Ahí es donde un archivo de configuración XML resulta útil. Muchos expertos en seguridad comparten archivos creados por la comunidad que equilibran el ruido y la información. Descarga uno de algún lugar como su repositorio de GitHub o crea el tuyo propio si te sientes cómodo con XML. Guárdalo en la misma carpeta que el ejecutable de Sysmon.
Sysmon64.exe -i sysmonconfig.xml
Reemplace sysmonconfig.xml con su nombre de archivo. Al ejecutarlo, se instalará Sysmon con sus reglas personalizadas, lo que le proporcionará un registro más preciso y menos desordenado.
Verificar que Sysmon esté funcionando
Una vez instalado, comprueba que los registros se estén activando. Pulsa Win + R, escribe eventvwr.msc y pulsa Intro. A continuación, ve a Registros de Aplicaciones y Servicios > Microsoft > Windows > Sysmon > Operacional. Si ves entradas de evento como el ID 1 (para la creación de procesos) o el ID 3 (para las conexiones de red), todo está bien. Haz doble clic en un evento para explorarlo; hay mucha información, como argumentos de la línea de comandos, la ruta de la imagen, el usuario, etc.
Actualice la configuración según sea necesario
Si decide modificar lo que se registra más tarde, simplemente ejecute:
Sysmon64.exe -c sysmonconfig.xml
Esto actualiza el servicio en ejecución sin necesidad de reinstalarlo. Siempre guarde una copia de seguridad de sus configuraciones; lo que funciona bien hoy podría necesitar ajustes mañana.
Compruebe si el servicio Sysmon está activo
Para comprobar que sigue en ejecución, abra services.msc (vía Win + R) y busque Sysmon. Debería indicar » En ejecución «.O simplemente escriba:
sc query sysmon
En el Símbolo del sistema. Si ve «ESTADO: EN EJECUCIÓN», significa que está activo. De lo contrario, revise la instalación o los registros para ver si hay errores.
Uso de los registros para el análisis
Ahora que Sysmon está activo, puedes revisar los registros en el Visor de Eventos. Filtra por ID de Evento: 1 para creaciones de procesos (¿líneas de comando sospechosas?), 3 para conexiones salientes (¿IP inusuales?), o busca archivos en constante cambio. Si te animas, puedes canalizar los registros a herramientas SIEM o scripts para automatización. Sinceramente, uno de los mejores usos es correlacionar estos registros con otras fuentes de datos.
Desinstalación de Sysmon
A veces ya no es necesario o causa más problemas de los que soluciona. Para eliminar Sysmon:
Abrir el símbolo del sistema como administrador
- Haga clic derecho en Inicio, seleccione Símbolo del sistema (Administrador).
Navegar a la carpeta
- Úselo
cdpara ir a donde está almacenado Sysmon.
Ejecute el comando de desinstalación
Sysmon64.exe -u
Listo. Se detendrá y eliminará el servicio, además de borrar los registros. Verifique con services.msc : Sysmon ya no debería aparecer.
Preguntas frecuentes
¿Para qué se utiliza Sysmon en Windows 11?
Se trata de una visibilidad profunda: seguimiento de procesos, actividad de red y carga de controladores. Ideal si se esconde malware oculto o si se solucionan problemas de comportamiento extraño del sistema.
¿Es seguro utilizar Sysmon?
Sí. Es de Microsoft, está bien mantenido y se usa en seguridad empresarial; no hay nada sospechoso. Lo principal es tener cuidado con las configuraciones, sobre todo si las personalizas para evitar saturar los registros o perder eventos críticos.
¿Sysmon ralentiza Windows 11?
Sinceramente, es bastante ligero, pero los archivos de configuración demasiado detallados pueden generar registros enormes, lo que podría tener un impacto mínimo en el rendimiento, aunque la mayoría no lo notará. La clave está en ajustar la configuración para lograr el equilibrio necesario.
¿Dónde se almacenan los registros de Sysmon?
En el Visor de eventos, en Registros de aplicaciones y servicios > Microsoft > Windows > Sysmon > Operacional.
¿Se puede reinstalar Sysmon después de la desinstalación?
Por supuesto. Simplemente vuelve a ejecutar el comando de instalación, con o sin una configuración personalizada. Es así de flexible.
¿Necesito habilidades especiales para personalizar las configuraciones?
Si solo instalas y usas la configuración predeterminada, no. Pero crear configuraciones XML personalizadas implica comprender la estructura XML básica y qué eventos filtrar. No es imposible, pero requiere algo de lectura.
Con suerte, esto será un paso más fácil para quienes no quieran profundizar demasiado, pero aún así necesiten una ventaja adicional para monitorear la actividad del sistema de Windows. Solo recuerda: una pequeña configuración ahora puede ahorrarte horas de dolor de cabeza más adelante.¡Mucha suerte!
Resumen
- Descargue Sysmon desde el sitio oficial de Microsoft
- Ejecute el símbolo del sistema como administrador e instálelo con
Sysmon64.exe -io sin una configuración personalizada - Verifique los registros en el Visor de eventos en Sysmon Operational
- Actualizar configuraciones usando
Sysmon64.exe -c - Desinstalar con
Sysmon64.exe -u
Resumen
Configurar Sysmon no siempre es pan comido, sobre todo si Windows te pone trabas, pero una vez que funciona, es una forma bastante fiable de echar un vistazo tras la cortina. Ya sea por seguridad, para solucionar problemas o simplemente por curiosidad, es una herramienta que vale la pena aprender. Ojalá esto ayude a alguien a ahorrarse unas horas de frustración.