# Sysmon

<p class="callout info">Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.</p>

### Что такое Sysmon

**System Monitor (Sysmon)** — это инструмент мониторинга ОС от Microsoft, который входит в пакет Sysinternals Suite. Представляет собой системную службу и драйвер устройства Windows, которые после установки постоянно работают в системе, в том числе после перезагрузки.

Типы событий, создаваемые Sysmon: [https://learn.microsoft.com/ru-ru/sysinternals/downloads/sysmon#event-id-1-process-creation](https://learn.microsoft.com/ru-ru/sysinternals/downloads/sysmon#event-id-1-process-creation)

Sysmon предоставляет подробную информацию о создании процессов, сетевых подключениях и изменениях времени создания файлов. За счет сбора событий Sysmon средствами сбора событий Windows (Windows Event Collection) или SIEM-системами и последующего их анализа, можно выявлять вредоносную или аномальную активность и понять, как злоумышленники и вредоносное ПО действуют в вашей сети. Служба работает как защищенный процесс, что блокирует широкий спектр взаимодействий из пользовательского режима.

Sysmon не анализирует генерируемые им события и не пытается скрыть свое присутствие от злоумышленников.

### Описание схемы работы

Схема работы абсолютно идентична схеме работы, приведенной в разделе [**Описание схемы работы с Windows Event Collector**](https://kb.kuma-community.ru/link/97#bkmrk-%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-%D0%B0%D1%83%D0%B4%D0%B8%D1%82%D0%B0-%D0%BE%D1%82%D0%B4) статьи **MS WEC**.

### Установка и настройка Sysmon

<p class="callout info">Sysmon использует файл конфигурации, который содержит набор правил (фильтров), указывающих Sysmon какие именно события операционной системы (создание процессов, сетевые подключения, изменение файлов и т.д.) нужно регистрировать в журнале.  
  
В статье используется готовый шаблон файла конфигурации из репозитория - [https://github.com/SwiftOnSecurity/sysmon-config](https://github.com/SwiftOnSecurity/sysmon-config).  
  
По умолчанию в шаблоне включены достаточно "шумные" правила для мониторинга DNS-запросов. Если их мониторинг не требуется просто удалите эту секцую или закомментируйте правила.</p>

#### На отдельной рабочей станции/сервере

- Выполните загрузку **Sysmon.exe** с официального сайта [Sysinternals](https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon):

```powershell
Invoke-WebRequest -Uri "https://download.sysinternals.com/files/Sysmon.zip" -OutFile "<Путь для загрузки файла>\<Имя файла>"
```

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/1bvimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/1bvimage.png)

- Распакуйте архив средствами проводника Windows или с помощью PowerShell-команды:

```powershell
Expand-Archive -Path "<Путь, куда был загружен файл>\<Имя файла>" -DestinationPath "<Путь для загрузки файла>\<Имя файла>" -Force
```

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/MlTimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/MlTimage.png)

- Загрузите готовый конфигурационный [файл](https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml) Sysmon. Можно использовать конфигурационные файлы из других репозиториев, например, [отсюда](https://github.com/olafhartong/sysmon-modular) или создать собственный (подробнее см. [здесь](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon#configuration-files)):

```powershell
Invoke-WebRequest -Uri "https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml" -OutFile "<Путь для загрузки файла>\<Имя файла>" 
```

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/UOCimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/UOCimage.png)

- Запустите PowerShell с правами администратора и выполните установку Sysmon с ранее загруженной (или собственной) конфигурацией:

```powershell
<Путь до файла>\Sysmon.exe -accepteula -i "<Путь до файла конфигурации>\<Имя файла конфигурации>"
```

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/2S3image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/2S3image.png)

- Проветье статус службы Sysmon:

```powershell
Get-Service -Name Sysmon
```

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/XVlimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/XVlimage.png)

- <span class="fontstyle0">Нажмите кнопку **Win**, введите **eventvwr.msc** и запустите **Просмотр** </span><span class="fontstyle0">**событий (Event Viewer)** от имени администратора.</span>
- <span class="fontstyle0">Перейдите в </span>**Журналы приложений и служб** <span class="fontstyle2">→ <span class="fontstyle0">**Microsoft →** **Windows →** **Sysmon →** **Operational**</span></span>. Если в появившемся окне <span class="fontstyle2"><span class="fontstyle0">**Operational**</span></span> отображаются события Sysmon, значит cлужба Sysmon установлена и настроена корректно.<span class="fontstyle0">   
    </span>
    - -
- [![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/R6fimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/R6fimage.png)

#### На группе рабочих станций/серверов средствами GPO

При наличии опыта администрирования <span lang="EN-US">Windows</span> инфраструктуры вы можете использовать наиболее привычный для Вас способ. Ниже описан один из вариантов установки и настройки Sysmon.

- Выполните загрузку **Sysmon.exe** с официального сайта [Sysinternals](https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon):

```powershell
Invoke-WebRequest -Uri "https://download.sysinternals.com/files/Sysmon.zip" -OutFile "<Путь для загрузки файла>\<Имя файла>"
```

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/1bvimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/1bvimage.png)

- Распакуйте архив средствами проводника Windows или с помощью PowerShell-команды:

```powershell
Expand-Archive -Path "<Путь, куда был загружен файл>\<Имя файла>" -DestinationPath "<Путь для загрузки файла>\<Имя файла>" -Force
```

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/MlTimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/MlTimage.png)

- Загрузите готовый конфигурационный [файл](https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml) Sysmon. Можно использовать конфигурационные файлы из других репозиториев, например, [отсюда](https://github.com/olafhartong/sysmon-modular) или создать собственный (подробнее см. [здесь](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon#configuration-files)):

```powershell
Invoke-WebRequest -Uri "https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml" -OutFile "<Путь для загрузки файла>\<Имя файла>" 
```

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/UOCimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/UOCimage.png)

- На контроллере домена создайте папку **sysmon** по пути **\\\\&lt;Имя контроллера домена&gt;\\SYSVOL\\&lt;Название домена&gt;\\scripts\\**.

<p class="callout info">**Почему SYSVOL?**  
**Репликация и доступность:**   
Папка SYSVOL автоматически реплицируется между всеми контроллерами домена (DC). Это означает, что файлы Sysmon будут доступны с любого контроллера домена по пути \\\\&lt;ANY\_DC&gt;\\SYSVOL\\&lt;domain&gt;\\scripts\\sysmon\\. Таким образом обеспечивается высокая доступность исполняемого файла Sysmon.exe и файла конфигурации.  
 **Гарантированный доступ с компьютеров домена:** По умолчанию у всех компьютеров в домене есть право на чтение из SYSVOL. Вам не потребуется вручную настраивать права NTFS или общие ресурсы (Network Shares).  
  
**Безопасность:** Поскольку запись в SYSVOL по умолчанию разрешена только администраторам домена, риск случайного или злонамеренного изменения скриптов или файлов Sysmon посторонними лицами минимален.</p>

- Скопируйте файл **Sysmon.exe** и файл конфигурации **sysmonconfig-export.xml** на контроллер домена в **\\\\&lt;Имя контроллера домена&gt;\\SYSVOL\\&lt;Название домена&gt;\\scripts\\sysmon.**

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/SNhimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/SNhimage.png)

- Создайте скрипт установки **deploy\_sysmon.cmd** (укажите актуальное имя домена в значении переменной **SYSMON\_NETWORK\_PATH**):

```bash
@echo off
setlocal EnableDelayedExpansion

rem --- Проверка установлен ли уже Sysmon ---
sc query Sysmon >nul 2>&1
if !ERRORLEVEL! EQU 0 (
    echo [INFO] Sysmon is already installed. Exiting.
    goto :clean_exit
)

rem --- Пути ---
set "SYSMON_NETWORK_PATH=\\<Domain Name>\SYSVOL\<Domain Name>\scripts\sysmon"
set "CONFIG_FILE=%SYSMON_NETWORK_PATH%\sysmonconfig-export.xml"
set "SYSMON_EXE=%SYSMON_NETWORK_PATH%\Sysmon.exe"

rem --- Локальный путь для копирования ---
set "SYSMON_LOCAL_DIR=C:\Windows\Temp\SysmonDeploy"
set "SYSMON_LOCAL_EXE=%SYSMON_LOCAL_DIR%\Sysmon.exe"
set "CONFIG_LOCAL_FILE=%SYSMON_LOCAL_DIR%\sysmonconfig-export.xml"

rem --- Создание локальной папки ---
if not exist "%SYSMON_LOCAL_DIR%" mkdir "%SYSMON_LOCAL_DIR%"

rem --- Копирование файлов с контроллера домена в локальную папку ---
echo Copying files from SYSVOL...
copy /Y "%SYSMON_EXE%" "%SYSMON_LOCAL_DIR%\" >nul
copy /Y "%CONFIG_FILE%" "%SYSMON_LOCAL_DIR%\" >nul

rem --- Установка Sysmon ---
echo [INFO] Installing Sysmon...
"%SYSMON_LOCAL_EXE%" -i "%CONFIG_LOCAL_FILE%" -accepteula

rem --- Очистка временных файлов ---
rd /S /Q "%SYSMON_LOCAL_DIR%" >nul 2>&1

:clean_exit
endlocal
echo Sysmon deployment task completed.
```

<p class="callout info">Вместо использования имени конкретного контроллера домена в скрипте используется полное имя домена. Это обеспечивает отказоустойчивость: если "вернувшийся" в запросе контроллер домена будет недоступен, устройства автоматически обратятся к другому контроллеру домена за файлами.</p>

<p class="callout warning"><span class="fontstyle0">GPO можно применять к группе компьютеров, к OU, к сайт или всему домену. Первоначально рекомендуется выполнить развертывание службы Sysmon на нескольких некритичных рабочих станциях и далее после успешного тестирования постепенно масштабировать GPO на другие группы компьютеров и/или OU.</span></p>

- <span class="fontstyle0">В нашем примере будет использоваться группа компьютеров - создайте группу компьютеров средствами **Active Directory – пользователи и компьютеры**, задайте имя группе, например, **KUMA Sysmon**. Добавьте в данную группу несколько некритичных рабочих станций, на которых предполагается развертывание службы Sysmon.</span>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/6t6image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/6t6image.png)

- <span class="fontstyle0">Для того, чтобы изменения вступили в силу (в данном случае членство в новой группе), </span><span class="fontstyle0">выполните перезагрузку устройства. Альтернативным вариантом может быть </span><span class="fontstyle0">перевыпуск Kerberos-тикетов для устройства с помощью klist.exe.</span>

<p class="callout info">Проверить, что устройство стало членом группы можно с помощью команды: **gpresult /r /scope:computer**</p>

- <span class="fontstyle0">На контроллере домена запустите оснастку **Управление групповой политикой**: </span><span class="fontstyle0">нажмите **Win + R** </span><span class="fontstyle2">→ </span>**<span class="fontstyle0">gpmc.msc.</span>**
- <span class="fontstyle0">Создайте новый</span> <span class="fontstyle0">объект групповой политики, например,</span> **Deploy Sysmon:** <span class="fontstyle0">ПКМ</span> <span class="fontstyle0">Объекты групповой политики </span><span class="fontstyle2">→ </span><span class="fontstyle0">Создать </span><span class="fontstyle2">→ </span>**<span class="fontstyle0">введите в качестве имени объекта</span>**<span class="fontstyle0"> Deploy Sysmon.</span>**

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/B6kimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/B6kimage.png)

- <span class="fontstyle0">Далее выберите созданный объект групповой политики **Deploy Sysmon**</span> <span class="fontstyle0">и нажмите </span>**<span class="fontstyle0">Изменить.</span>**
- <span class="fontstyle0">Перейдите в **Конфигурация компьютера** <span class="fontstyle2">→ </span>**Политики** <span class="fontstyle2">→ </span>**Конфигурация Windows** <span class="fontstyle2">→ **Сценарии (Запуск/Завершение)** → **Автозагрузка** </span></span><span class="fontstyle0"><span class="fontstyle2">**(Computer Configuration → Policies → Windows Settings → Scripts (Startup/Shutdown) → Startup)**</span></span>
- Нажмите **Добавить** и в появившемся окне **Добавление сценария** нажмите **Обзор.**

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/w9dimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/w9dimage.png)

- <span class="fontstyle0">В окне **Проводника** в папку \\\\&lt;Наименование домена&gt;\\SysVol\\&lt;Наименование домена&gt;\\Policies\\&lt;GUID политики&gt;\\Machine\\Scripts\\Startup скопируйте ранее созданный скрипт **deploy\_sysmon.cmd**, далее выберите скрипт и нажмите **Открыть**.</span>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/Aucimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/Aucimage.png)

- <span class="fontstyle0">Нажмите **ОК**.</span>
- <span class="fontstyle0">В окне **Свойства: Автозагрузка** нажмите **ОК**. Таким образом, скрипт, устанавливающий службу Sysmon будет выполняться при запуске ОС.</span>
- <span class="fontstyle0">Далее вернитесь в окно **Управление групповой политикой** <span class="fontstyle2">→ </span>выберите объект групповой политики **Deploy Sysmon** <span class="fontstyle2">→ </span>в окне справа **Фильтры безопасности** удалите группу **Прошедшие проверку** и добавьте группу **KUMA Sysmon.**</span>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/jbyimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/jbyimage.png)

- <span class="fontstyle0">Нажмите **ПКМ** на домен и выберите **Связать существующий объект групповой** </span><span class="fontstyle0">**политики** <span class="fontstyle2">→ </span>выберите **KUMA Sysmon** и нажмите ОК. </span>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/AiXimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/AiXimage.png)

- <span class="fontstyle0">Итоговый вид политики должен выглядеть следующим образом (см. скриншот). </span>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/xy7image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/xy7image.png)

- <span class="fontstyle0">Для того, чтобы скрипт установки Sysmon из новой GPO был применен на рабочих станциях, необходимо </span><span class="fontstyle0">перезагрузить устройства и выполнить вход под УЗ пользователя.</span>
- <span class="fontstyle0">Для проверки, что GPO была успешно применена и Sysmon был установлен, на одном из тестовых устройств:</span>
    - Проверьте статус службы Sysmon:

```
Get-Service -Name Sysmon
```

<span class="fontstyle0">[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/XVlimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/XVlimage.png)</span>

- - - <span class="fontstyle0">Нажмите кнопку **Win**, введите **eventvwr.msc** и запустите **Просмотр** </span><span class="fontstyle0">**событий (Event Viewer)** от имени администратора.</span>
        - <span class="fontstyle0">Перейдите в </span>**Журналы приложений и служб** <span class="fontstyle2">→ <span class="fontstyle0">**Microsoft →** **Windows →** **Sysmon →** **Operational**</span></span>. Если в появившемся окне <span class="fontstyle2"><span class="fontstyle0">**Operational**</span></span> отображаются события Sysmon, значит cлужба Sysmon установлена и настроена корректно.<span class="fontstyle0">   
            </span>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/R6fimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/R6fimage.png)

---

### Настройка WEC-сервера

<p class="callout info">[Рекомендуемые системные требования](https://support.kaspersky.ru/kuma/4.0/217889) для WEC-сервера  
[Best Practice](https://learn.microsoft.com/en-us/troubleshoot/windows-server/admin-development/configure-eventlog-forwarding-performance) от MS</p>

#### Настройка службы Windows Event Collector (WEC)

Если служба Windows Event Collector (WEC) еще не настроена см. раздел [**Настройка службы Windows Event Collector (WEC)**](https://kb.kuma-community.ru/link/97#bkmrk-%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-%D1%81%D0%BB%D1%83%D0%B6%D0%B1%D1%8B-win)

#### Настройка подписки для событий Sysmon на WEC-сервере

Чтобы настроить подписку для событий Sysmon на WEC-сервере:

- Нажмите кнопку **<span lang="EN-US">Win</span>**, введите **eventvwr.msc** и запустите **Просмотр событий** от имени администратора.
- Выберите **Подписки <span class="fontstyle0">→</span>** правой кнопкой мыши **Создать подписку** <span class="fontstyle0">→</span> Укажите имя подписки, например, KUMA Sysmon и тип подписки **Инициировано исходным компьютером.**

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/3p2image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/3p2image.png)

- Выберите отдельные компьютеры или группу компьютеров, на которых установлен Sysmon и события которых требуется собирать. В нашем примере – это группа компьютеров KUMA Sysmon: нажмите **Выбрать группы компьютеров** <span class="fontstyle0">**→** </span>**Добавить доменный компьютер** **<span class="fontstyle0">→ </span>**в поле **Введите имена выбираемых объектов** укажите ранее созданную группу компьютеров и нажмите **ОК**.

<p class="callout info">Если предполагается сбор событий с контроллера домена, в таком случае, контроллер домена **можно добавить как отдельный доменный компьютер**.</p>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/nF0image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/nF0image.png)

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/ZJpimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/ZJpimage.png)

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/o5Eimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/o5Eimage.png)

- Задайте собираемые события: Выбрать события <span class="fontstyle0">→ </span>**<span class="fontstyle0">перейдите на вкладку XML и установите флажок **Изменить запрос вручную**.</span>
- <span class="fontstyle0">Вставьте в поле следующий фильтр событий:</span>

```xml
<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
    <Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
  </Query>
</QueryList>
```

- Нажмите **ОК**.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/V77image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/V77image.png)

- Далее в окне **Свойства подписки** нажмите **Дополнительно** и для параметра **Оптимизация доставки событий** укажите **Уменьшенная задержка**.
- Нажмите **ОК.**

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/5Cximage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/5Cximage.png)

---

### Настройка WinRM и подписки на источниках событий

#### Для отдельной рабочей станции/сервера

Если WinRM и подписка на источниках событий еще не настроены см. раздел [**Настройка WinRM и подписки на источниках событий (Для отдельной рабочей станции/сервера)**](https://kb.kuma-community.ru/link/97#bkmrk-%D0%94%D0%BB%D1%8F-%D0%BE%D1%82%D0%B4%D0%B5%D0%BB%D1%8C%D0%BD%D0%BE%D0%B9-%D1%80%D0%B0%D0%B1%D0%BE%D1%87%D0%B5)

#### Для группы рабочих станций/серверов

Если WinRM и подписка на источниках событий еще не настроены см. раздел [**Настройка WinRM и подписки на источниках событий (Для группы рабочих станций/серверов).**](https://kb.kuma-community.ru/link/97#bkmrk-%D0%94%D0%BB%D1%8F-%D0%B3%D1%80%D1%83%D0%BF%D0%BF%D1%8B-%D1%80%D0%B0%D0%B1%D0%BE%D1%87%D0%B8%D1%85-%D1%81)

<p class="callout info">В качестве объекта групповой политики используйте **Deploy Sysmon**.</p>


### Проверка поступления событий

Убедитесь, что на WEC-сервер поступают события Sysmon с рабочих станций/серверов:

- На WEC-сервере нажмите кнопку **Win**, введите **eventvwr.msc** и запустите **Просмотр событий** от имени администратора.
- Перейдите в **Журналы Windows** → **Перенаправленные события (Forwarded Events)**.
- В панели справа выберите **Фильтр текущего журнала.**
- В окне **Фильтровать текущий журнал** в поле **Источники событий** укажите **Microsoft-Windows-Sysmon** и нажмите **ОК**.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/xdCimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/xdCimage.png)

- Если в окне **Перенаправленные события (Forwarded Events)** отображаются события Sysmon, значит подписка работает корректно.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/g8uimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/g8uimage.png)

<p class="callout warning">Для MS Server 2016 и 2019 в случае если события не пересылаются, выполнить шаги по **[этой инструкции](https://learn.microsoft.com/ru-ru/troubleshoot/windows-server/admin-development/events-not-forwarded-by-windows-server-collector)**. При добавлении разрешения для URL-адреса с помощью **netsh http add urlacl** добавьте кавычки "..." в параметре SDDL:  
`netsh http delete urlacl url=http://+:5985/wsman/netsh http add urlacl url=http://+:5985/wsman/ sddl="D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)"netsh http delete urlacl url=https://+:5986/wsman/netsh http add urlacl url=https://+:5986/wsman/ sddl="D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)"`</p>

В случае если от источников не поступают события Sysmon проверьте на WEC-сервере в журнале `Microsoft/windows/event_forwardingPlugin/Operational` события с кодом 5004 (<span class="ui-provider ed azy azz baa bab bac bae baf bag bah bai baj bak bal bam ban bao bap baq bar bas bat bau bav baw bax bay baz bba bbb bbc bbd bbe bbf bbg" dir="ltr">ошибка отправки логов на WEC-сервер</span>), если там есть такие события, то выполните рекомендации согласно этой статье: [https://learn.microsoft.com/ru-ru/troubleshoot/windows-server/system-management-components/security-event-log-forwarding-fails-error-0x138c-5004](https://learn.microsoft.com/ru-ru/troubleshoot/windows-server/system-management-components/security-event-log-forwarding-fails-error-0x138c-5004)

### Настройка коллектора и агента KUMA

Если Вы уже ранее развернули агент KUMA на WEC-сервере и настроили сервис коллектор для сбора событий Windows (см. статью [MS WEC](https://kb.kuma-community.ru/link/97#bkmrk-page-title)), в таком случае дополнительных действий не требуется и можно переходить к шагу **Проверка поступления событий Windows в KUMA.**

В случае если агент KUMA и сервис коллектора для событий Windows ранее не настраивались - см. раздел **[Настройка коллектора и агента KUMA](https://kb.kuma-community.ru/link/97#bkmrk-%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-%D0%BA%D0%BE%D0%BB%D0%BB%D0%B5%D0%BA%D1%82%D0%BE%D1%80%D0%B0).**

### Проверка поступления событий Windows в KUMA

Для проверки, что сбор событий Sysmon успешно настроен перейдите в **Ресурсы** → **Активные сервисы** → выберите коллектор для событий Windows/Sysmon и нажмите **Перейти к событиям**.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/scaled-1680-/Q9himage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/Q9himage.png)

  
2\. В открывшемся окне **События** добавьте в поисковый запрос условие DeviceProduct = 'Sysmon' и убедитесь, что события Sysmon доступны.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/scaled-1680-/JzMimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/JzMimage.png)

---

### Полезные ссылки

Статья MS о Sysmon - [https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon)

Шаблон файла конфигурации Sysmon - [https://github.com/SwiftOnSecurity/sysmon-config](https://github.com/SwiftOnSecurity/sysmon-config)