---
title: Sysmon を使用して Windows の監査を強化する
tags:  #windows server #windows #audit #sysinternals #sysmon  
author: [Kazuki Takai](https://docswell.com/user/takai)
site: [Docswell](https://www.docswell.com/)
thumbnail: https://bcdn.docswell.com/page/LE3WP35GE5.jpg?width=480
description: Windows Server ＆ Cloud User Group Japan 第50回勉強会の資料です。 2026年3月の定例更新プログラムで Windows 11 に標準搭載される予定の Sysmon について紹介します。特定プロセスの挙動を把握するだけでなく、システム全体のふるまいを監査する目的でも利用することができるため、無償で追加の監査、検地をおこないたい場合にも有効です。
published: March 07, 26
canonical: https://docswell.com/s/takai/ZX2YMP-Audit-Windows-with-Sysmon
---
# Page. 1

![Page Image](https://bcdn.docswell.com/page/LE3WP35GE5.jpg)

Sysmon を使用して
Windows の監査を
強化する
SCUGJ (wSCUGJ) 勉強会 #50 2026-03-07
Kazuki Takai
Windows Server &amp; Cloud User Group Japan


# Page. 2

![Page Image](https://bcdn.docswell.com/page/8EDKL4DN7G.jpg)

自己紹介
• たかい （Kazuki Takai） // X（旧 Twitter）@zhuky7
• 会社員 （某ISP勤務）
• サービス基盤開発、技術調査・技術開発、ライセンス関連
• wSCUGJ （Windows Server &amp; System Center User Group Japan）
• Active Directory 勉強会
• 興味分野：統合管理、ID、自動化、セキュリティ、監視・運用
• Microsoft MVP - Cloud and Datacenter Management / Microsoft Azure
• @IT：Windows Server 2025 連載


# Page. 3

![Page Image](https://bcdn.docswell.com/page/V7PK2MXNJ8.jpg)

注意点
• 本セッションでは一部リリース前の機能について取り扱います
• 機能や動作仕様については変更となる可能性があります
• 最新の仕様、動作、状況は Microsoft Learn のドキュメントや
Microsoft の Blog、Tech Community などをご確認ください
• 本セッションの内容は Sysmon for Windows を想定しています
• Sysmon for Linux については取り扱いません


# Page. 4

![Page Image](https://bcdn.docswell.com/page/2JVVD9LYJQ.jpg)

本日のお話


# Page. 5

![Page Image](https://bcdn.docswell.com/page/5EGLYZXWJL.jpg)

Microsoft Ignite 2025 にて
• Sysmon が Windows ネイティブ機能として搭載
される旨アナウンス
https://techcommunity.microsoft.com/blog/windows-itpro-blog/native-sysmon-functionality-coming-to-windows/4468112 より引用


# Page. 6

![Page Image](https://bcdn.docswell.com/page/4JQYML8Q7P.jpg)

Windows 11 KB5077241
• Windows 11 25H2 の 2026 年 2 月のプレビュー
更新プログラム（KB5077241）
• 2026 年 2 月 24 日 — KB5077241 (OS ビルド
26200.7922 および 26100.7922) プレビュー -
Microsoft サポート
• Sysmon が Windows の機能として利用可能に
• Windows 24H2 のプレビュー更新でも利用可能


# Page. 7

![Page Image](https://bcdn.docswell.com/page/K74WVD2YE1.jpg)

Windows 11 KB5077241


# Page. 8

![Page Image](https://bcdn.docswell.com/page/LJ1Y3ZMNEG.jpg)

KB5077241 インストール後
• Windows のその他の機能に追加


# Page. 9

![Page Image](https://bcdn.docswell.com/page/GJWGP9DM72.jpg)

Windows 機能としての Sysmon
• 2026 年 3 月の（プレビューではない）更新プログラムに含
まれる予定
• Hotpatch を利用していない環境
• Hotpatch 利用環境の場合、次のベースライン更新は 2026 年 4 月
• Windows Server についても、2026 年 3 月の定例更新プ
ログラムに含まれるかも（？）※公式発表無
• 別の方法で Sysmon インストール済みの場合は、OS 機能
から有効化する前にアンインストールが必要


# Page. 10

![Page Image](https://bcdn.docswell.com/page/4EZLK9GM73.jpg)

Windows News （2026 年 2 月）
https://techcommunity.microsoft.com/blog/windows-itpro-blog/windows-news-you-can-use-february-2026/4495552 より引用


# Page. 11

![Page Image](https://bcdn.docswell.com/page/Y76WQKY57V.jpg)

あらためて Sysmon のお話


# Page. 12

![Page Image](https://bcdn.docswell.com/page/G75MRPGG74.jpg)

Sysmon とは
• Sysinternals ツール群の中の一つ
• システム アクティビティの監視とイベントログへ
の出力が可能
• Windows 標準のログを補完する目的
• 構成ファイル記述により柔軟な設定が可能


# Page. 13

![Page Image](https://bcdn.docswell.com/page/9J29D6YDER.jpg)

Sysmon でできること
• 各種イベントや付加情報の記録
• プロセスの生成
• プロセスイメージのファイルハッシュ
• プロセス追跡の為の追加情報（プロセス GUID 等）
• ドライバーや DLL のロード
• ディスクやボリュームの RAW 読み取りアクセス（のオープン）
• ネットワーク接続（開始）のソース プロセス、IP アドレス、ポート番号等
• ファイル作成時刻の変更
• メモリアクセス
• 特定のイベントを包含、除外するようなフィルタルールの記述
• ブートプロセスを含むイベントの検出


# Page. 14

![Page Image](https://bcdn.docswell.com/page/DEY429GMJM.jpg)

前提
• Sysmon は標準の Windows イベントログを補完
• 標準機能では出力できない（分かり難い）イベントに
ついて追加でログを出力
• OS 標準のログ コントロールと組み合わせて利用
• Sysmon 単体で全てをまかなうものではない
• OS の監査ポリシーを適切に構成


# Page. 15

![Page Image](https://bcdn.docswell.com/page/VJNY8LG378.jpg)

Windows OS の監査ポリシー
• グループ ポリシー等を利用して構成
• 詳細な構成も活用


# Page. 16

![Page Image](https://bcdn.docswell.com/page/YE9PK4WPJ3.jpg)

Sysmon の構成要素
• Sysmon サービス
• 構成の管理（ユーザーからの入力受付）やキャプチャされ
たイベントのイベントログへの出力
• Sysmon ドライバー （カーネルモード ドライバー）
• イベント発生時にイベントをキャプチャ
• 構成ファイル
• キャプチャするイベントに関するルールを記述


# Page. 17

![Page Image](https://bcdn.docswell.com/page/GE8DRQNXED.jpg)

Sysmon アーキテクチャー
User Mode
構成ファイル （XML）
EventLog （書き込み）
Kernel Mode
Windows Service
（Sysmon.exe / Sysmon64.exe）
Registry （パラメータ）
Kernel Driver
SysmonDrv.sys
Minifilter Driver
オブジェクト生成に対する
コールバック登録
ETW Provider
File System
Process Manager
Event Tracing for Windows
（I/O 要求パケット）
（EPROCESS 構造体）
Kernel Subsystem


# Page. 18

![Page Image](https://bcdn.docswell.com/page/LELMKXPN7R.jpg)

Sysmon サービス


# Page. 19

![Page Image](https://bcdn.docswell.com/page/4JMY2L4QJW.jpg)

Sysmon のログ出力
• ログ出力先（Log Name）
• Microsoft-Windows-Sysmon/Operational
• イベント ビューアー
• アプリケーションとサービス ログ
• Microsoft¥Windows¥Sysmon
• Operational ログ


# Page. 20

![Page Image](https://bcdn.docswell.com/page/PJR9MKWK79.jpg)

Sysmon ログ


# Page. 21

![Page Image](https://bcdn.docswell.com/page/PEXQVLP5JX.jpg)

Sysmon で検出可能なイベント
ID
Event
補足
1
Process Create
プロセスの作成
2
File creation time
プロセスによってファイルの作成時間が変更された
3
Network connection detected
ネットワーク接続の検出
4
Sysmon service state change
Sysmon サービスの状態が変更された
5
Process terminated
プロセスの終了
6
Driver Loaded
ドライバのロード
7
Image loaded
イメージのロード
8
CreateRemoteThread detected
プロセスが別のプロセスでスレッドを作成
9
RawAccessRead detected
プロセスが ¥¥.¥ を使用してドライブの読み取りを実行
10
Process accessed
プロセスが別のプロセスへアクセス（メモリ空間等）


# Page. 22

![Page Image](https://bcdn.docswell.com/page/3EK9QLDRED.jpg)

Sysmon で検出可能なイベント
ID
Event
補足
11
File created
ファイルの作成または上書き
12
Registry object added or deleted
レジストリ キーと値の作成と削除
13
Registry value set
レジストリ値の変更
14
Registry object renamed
レジストリ キーと値の名前変更
15
File stream created
名前付きファイル ストリームの作成
16
Sysmon configuration change
フィルター処理ルールの変更等、Sysmon 構成の変更
17
Named pipe created
名前付きパイプの作成
18
Named pipe connected
クライアント・サーバー間で名前付きパイプ接続が確立
19
WMI filter
WMI イベント フィルターアクティビティの検出
20
WMI consumer
WMI コンシューマーの登録


# Page. 23

![Page Image](https://bcdn.docswell.com/page/L73WP3RG75.jpg)

Sysmon で検出可能なイベント
ID
Event
補足
21
WMI consumer filter
WMI コンシューマーがフィルターにバインド
22
DNS query
プロセスが DNS クエリを実行
23
File Delete archived
ファイルの削除を検出しつつ、削除ファイルを保存
24
New content in the clipboard
システム クリップボードの内容変更
25
Process image change
プロセス イメージの変更（プロセス非表示手法の検出）
26
File Delete logged
ファイルの削除
27
File Block Executable
実行可能ファイル (PE 形式) の作成を検出してブロック
28
File Block Shredding
ファイルのシュレッディングを検出してブロック
29
File Executable Detected
新しい実行可能ファイル (PE 形式) の作成を検出
255
Error
Sysmon 内部エラー


# Page. 24

![Page Image](https://bcdn.docswell.com/page/87DKL4YNJG.jpg)

Sysmon 構成ファイル
• イベントのキャプチャ、ログの出力ルールを記述
• Sysmon サービスにロードすることで設定を変更
• XML 形式
• Sysmon –s で構成ファイルの XML スキーマを確認可能


# Page. 25

![Page Image](https://bcdn.docswell.com/page/VJPK2M6NE8.jpg)

構成ファイルのスキーマ


# Page. 26

![Page Image](https://bcdn.docswell.com/page/2EVVD93YEQ.jpg)

Sysmon 構成ファイルの例


# Page. 27

![Page Image](https://bcdn.docswell.com/page/57GLYZ3WEL.jpg)

Sysmon のインストール
• Sysmon のバイナリ配置
• Windows の機能として有効化
• Sysinternals から入手して配置 / WinGet でインストール
• 構成ファイルとともにサービスを有効化
• sysmon –i &lt;configuration XML file path&gt;


# Page. 28

![Page Image](https://bcdn.docswell.com/page/4EQYML5QJP.jpg)

Sysmon のインストール


# Page. 29

![Page Image](https://bcdn.docswell.com/page/KJ4WVD9Y71.jpg)

サンプルログ出力


# Page. 30

![Page Image](https://bcdn.docswell.com/page/LE1Y3ZKN7G.jpg)

他プロセスからのメモリアクセス（ダンプ）をイベントログに出力
※デモ用にサンプルとして procdump.exe からのアクセスのみログ出力
Demo


# Page. 31

![Page Image](https://bcdn.docswell.com/page/GEWGP9PMJ2.jpg)

事前定義された構成ファイル（サンプル）
• https://github.com/SwiftOnSecurity/sysmon-config
• https://raw.githubusercontent.com/SwiftOnSecurity/sysmonconfig/refs/heads/master/sysmonconfig-export.xml
• https://github.com/olafhartong/sysmon-modular
• ある程度調整された定義
• https://raw.githubusercontent.com/olafhartong/sysmonmodular/master/sysmonconfig.xml
• 網羅的に取得するための定義（検証用）
• https://raw.githubusercontent.com/olafhartong/sysmon-modular/master/sysmonconfigexcludes-only.xml
• 実験用（最小限の除外のみ）
• https://raw.githubusercontent.com/olafhartong/sysmon-modular/master/sysmonconfigresearch.xml


# Page. 32

![Page Image](https://bcdn.docswell.com/page/47ZLK9KMJ3.jpg)

OS 標準機能として利用できない環境
• Windows Server の古いバージョンなど
• Sysinternals から入手、又は WinGet 等のパッ
ケージマネージャー経由で配置することで利用可能
• Linux 環境向けには Sysmon for Linux 有
• Windows 版とはアーキテクチャー、実装が異なる


# Page. 33

![Page Image](https://bcdn.docswell.com/page/YJ6WQKQ5JV.jpg)

まとめ
• Sysmon を利用することで、Windows 組み込み
のイベントログより詳細な監査を実施可能
• 大量にログが出力されるための、本番環境に適用
する際はルールの精査が必要
• 可能であれば分析ツールやクラウドの利用を検討


# Page. 34

![Page Image](https://bcdn.docswell.com/page/GJ5MRPRGJ4.jpg)

参考資料
• Native Sysmon functionality coming to Windows
• Sysmon - Sysinternals | Microsoft Learn
• GitHub - SwiftOnSecurity/sysmon-config: Sysmon
configuration file template with default high-quality
event tracing · GitHub
• GitHub - olafhartong/sysmon-modular: A repository of
sysmon configuration modules · GitHub