关于sysmon
原创
sysmon的几个特点分享如下:
1、sysmon会跑在某个vCPU上,我电脑是8核16线程(vCPU0~vCPU15),看到总有一个vCPU的利用率比较高,而且不固定,但基本是在vCPU12~vCPU15这个范围
用windows performance recorder和 windows performance analyzer监测了下CPU排序锁定了范围,逐一排除发现是sysmon
搞得我都想给我的技嘉B550M AORUS ELITE主板对R7 5700G做超频优化了
我这颗CPU,0号、6号、7号核肯定是得特殊照顾下,一般来说大部分程序都是优先跑0号核的,而6号、7号核通过我长期观察是sysmon经常跑的核,因此这3个核要特殊照顾下
超频优化参考:https://www.zhihu.com/tardis/bd/art/349414008?source_id=1001
2、机器空载的时候,sysmon也在不断监测系统并记录日志,因此有持续不断的IO
参考这个录屏文件
https://windowsbj-1251783334.cos.ap-beijing.myqcloud.com/sysmon.mp4
3、由于sysmon频繁写磁盘,可能会对ssd寿命有一定影响
可以通过命令停止sysmon的日志
停止sysmon日志:wevtutil set-log "Microsoft-Windows-Sysmon/Operational" /enabled:false
启用sysmon日志:wevtutil set-log "Microsoft-Windows-Sysmon/Operational" /enabled:true
创建开机计划任务,停止sysmon的日志
schtasks /create /tn "forbid_sysmonlog" /ru SYSTEM /rl highest /tr "cmd.exe /c wevtutil set-log 'Microsoft-Windows-Sysmon/Operational' /enabled:false" /sc onstart /delay 0000:30 /f
schtasks /change /tn "forbid_sysmonlog" /st 00:00 /sd 1900/01/014、卸载sysmon的命令
cmd /c "C:\Windows\sysmon.exe -u force" 2>&1 > $null卸载sysmon,iOA又会把它装回去,iOA依赖sysmon的监测来实现功能
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
登录后参与评论
推荐阅读
相关产品与服务
云服务器
云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。