Windows 11でSysmonを使う方法:有効化、インストール、アンインストール
Sysmon(システムモニター)は、一見すると高級そうに聞こえますが、Windows 11の裏側で何が起こっているかを把握するのに役立つツールの一つです。プロセスの作成、ネットワークアクティビティ、ファイルの変更、ドライバーの読み込みなど、ほとんどのデフォルトツールでは記録されない詳細なログを記録します。高度なエンタープライズ設定を必要とせずにトラブルシューティングや不審なアクティビティの検出をしたい場合、Sysmonは救世主となるでしょう。ただし、確かにプラグアンドプレイというわけではなく、インストールと設定を行い、どこを見ればよいかを知る必要があります。特にログの保存方法やカスタム設定の必要性など、Windowsがこうした情報の取得を意図的に困難にしているように感じることもあります。そのため、少しの忍耐(とコマンドラインの知識)が非常に役立ちます。
Windows 11 で Sysmon を有効にしてインストールし、使用するにはどうすればよいでしょうか?
Sysmonを公式ソースからダウンロードする
まず、 Microsoft Sysinternalsのページにアクセスしてください。怪しいサードパーティのサイトではなく、そこから直接ダウンロードしてください。Windowsは、注意しないとマルウェアや古いバージョンが混入してしまうことが多いためです。ZIPファイルは通常、Sysmon.zipのようなファイル名です。ダウンロードしたら、ダウンロードフォルダなど、覚えやすいフォルダに解凍してください。解凍すると、 64ビット版Windows(おそらくお使いのWindows)の場合はSysmon64.exe 、32ビット版の場合はSysmon.exeが見つかります。これがコマンドラインから実行する実行ファイルです。
管理者としてコマンドプロンプトを開く
Sysmonは管理者権限がないと正しくインストールできません。当然ながら、Windowsはインストールを難しくしています。スタートボタンを押し、「cmd」と入力して、コマンドプロンプトを右クリックし、「管理者として実行」を選択します。UACプロンプトを受け入れます。さあ、Sysmonを解凍した場所をターミナルに指定しましょう。
cdディレクトリを変更するには、コマンドを使用します。例:cd C:\Users\\Downloads
Sysmonをデフォルト設定でインストールする
基本的な情報だけを表示したい場合で、フィルタリングに煩わされたくない場合は、次のコマンドを実行します。
Sysmon64.exe -i
これにより、Sysmon がデフォルト設定でインストールされ、すぐにログ出力が開始されます。初回はライセンス契約が表示される場合がありますが、同意してください。設定によっては、一時的にエラーが発生したり、最初はほとんど何も表示されない場合がありますが、再起動後または数分後にはイベントビューアーにログが表示されるようになります。
カスタム構成でSysmonを設定する
正直なところ、特に本格的な監視を行っている場合は、デフォルトの単純なログはすぐに乱雑になってしまいます。そこでXML設定ファイルが役立ちます。多くのセキュリティ専門家が、ノイズと情報のバランスを取ったコミュニティ作成のログを共有しています。GitHubリポジトリなどからダウンロードするか、XMLに慣れている場合は独自に作成してください。Sysmon実行ファイルと同じフォルダに保存してください。
Sysmon64.exe -i sysmonconfig.xml
sysmonconfig.xml を実際のファイル名に置き換えてください。これを実行すると、カスタムルールが組み込まれた状態でSysmonがインストールされ、より正確なログ出力が可能になり、煩雑さが軽減されます。
Sysmonが動作していることを確認する
インストールが完了したら、ログが出力されているか確認してください。 を押しWin + R、eventvwr.mscと入力してEnterキーを押します。次に、「アプリケーションとサービスログ」>「Microsoft」>「Windows」>「Sysmon」>「Operational」に移動します。ID 1(プロセス作成)やID 3(ネットワーク接続)などのイベントエントリが表示されていれば成功です。イベントをダブルクリックして中身を確認すると、コマンドライン引数、イメージパス、ユーザーなど、多くの情報が含まれています。
必要に応じて設定を更新する
後でログに記録する内容を微調整する場合は、次のコマンドを実行します。
Sysmon64.exe -c sysmonconfig.xml
これにより、再インストールせずに実行中のサービスを更新できます。設定は常にバックアップしておいてください。今日は良いと思った設定でも、明日は調整が必要になるかもしれません。
Sysmonサービスが稼働しているか確認する
Sysmon がまだ実行中であることを確認するには、services.mscを開き( を使用Win + R)、Sysmon を探してください。「Running」と表示されているはずです。または、次のコマンドを入力してください。
sc query sysmon
コマンドプロンプトで、「STATE: RUNNING」と表示されていればアクティブです。表示されていない場合は、インストールまたはログにエラーがないか再度確認してください。
ログを分析に利用する
Sysmon が起動したら、イベントビューアーでログを詳しく調べることができます。イベントIDでフィルタリングできます。プロセス作成(疑わしいコマンドライン?)、アウトバウンド接続(通常とは異なるIP?)、あるいは常に変化するファイルなどです。さらに高度な機能が必要な場合は、ログをSIEMツールやスクリプトにパイプして自動化することも可能です。正直なところ、これらのログを他のデータソースと相関させることが最も効果的な活用方法の一つです。
Sysmonのアンインストール
場合によっては、Sysmon はもはや必要なくなったり、解決するよりも多くの問題を引き起こしたりすることがあります。Sysmon を削除するには、次の手順に従います。
管理者としてコマンドプロンプトを開く
- [スタート] を右クリックし、[コマンド プロンプト (管理者)]を選択します。
フォルダに移動する
- Sysmon が保存されている場所に移動するために使用します
cd。
アンインストールコマンドを実行する
Sysmon64.exe -u
完了です。サービスが停止・削除され、ログも削除されます。services.msc で確認してみてください。Sysmonは表示されなくなるはずです。
よくある質問
Windows 11 で Sysmon は何に使用されますか?
プロセス、ネットワークアクティビティ、ドライバーの負荷など、詳細な可視性を実現します。巧妙に潜むマルウェアや、システムの動作異常のトラブルシューティングに最適です。
Sysmon は安全に使用できますか?
はい。Microsoft製で、しっかりとメンテナンスされており、企業のセキュリティ対策にも活用されています。怪しい点は一切ありません。重要なのは、設定に細心の注意を払うことです。特に、ログの氾濫や重要なイベントの見逃しを防ぐためにカスタマイズする場合は注意が必要です。
Sysmon は Windows 11 の速度を低下させますか?
正直言ってかなり軽量ですが、設定ファイルが冗長すぎるとログが巨大化し、パフォーマンスに若干の影響が出る可能性があります(ほとんどの人は気付かないかもしれませんが)。重要なのは、必要なバランスに合わせて設定をチューニングすることです。
Sysmon ログはどこに保存されますか?
イベント ビューアーの [アプリケーションとサービス ログ] > [Microsoft] > [Windows] > [Sysmon] > [Operational]で確認できます。
Sysmon はアンインストール後に再インストールできますか?
はい、もちろんです。カスタム設定の有無に関わらず、インストールコマンドをもう一度実行するだけです。とても柔軟です。
設定をカスタマイズするには特別なスキルが必要ですか?
デフォルトをインストールして使用するだけなら、問題ありません。ただし、カスタムXML設定を作成するには、基本的なXML構造と、どのイベントをフィルタリングして取り込むか、または除外するかを理解する必要があり、不可能ではありませんが、ある程度の知識が必要です。
深く掘り下げて調べるつもりはないけれど、Windowsシステムのアクティビティ監視にもう少し力を入れたい人にとって、これで少し楽になることを願っています。今少し設定しておけば、後で頭を悩ませる時間を節約できるということを覚えておいてください。頑張ってください!
まとめ
- SysmonをMicrosoftの公式サイトからダウンロードする
- 管理者としてコマンドプロンプトを実行し、
Sysmon64.exe -iカスタム構成でインストールします - Sysmon Operationalのイベントビューアーでログを確認します。
- 設定を更新するには
Sysmon64.exe -c - アンインストール
Sysmon64.exe -u
まとめ
Sysmon の起動は、特に Windows が障害になっている場合は必ずしも簡単ではありません。しかし、一度起動してしまえば、システムの裏側を覗き見るための確実な手段となります。セキュリティ対策、トラブルシューティング、あるいは単なる好奇心など、どんな目的であっても、Sysmon は習得する価値のあるツールです。このツールが、誰かのフラストレーションを少しでも軽減してくれることを願っています。