Win 7 HPx64 nie mogę wrzucić na PC Sysmona 6.0 gdy otwieram cmd i zatwierdzam sysmon -i system twierdzi, że Nazwa ‘sysmon’ nie jest rozpoznawana jako program wykonywalny lub plik wsadowy.
Z drzewa pomocy w konsoli cmd:
Microsoft Windows [Wersja 6.1.7601]
Copyright © 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone.

C:\Windows\system32>sysmon -i
Nazwa ‘sysmon’ nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne,
program wykonywalny lub plik wsadowy.

C:\Windows\system32>cd C:/

C:>C:\Users\Desktop\Sysmon

System Monitor v6.00 - System activity monitor
Copyright © 2014-2017 Mark Russinovich and Thomas Garnier
Sysinternals - www.sysinternals.com

Usage:
Install: C:\Users\Desktop\Sysmon -i []
[-h <[sha1|md5|sha256|imphash|],…>] [-n [<process,…>]]
[-l [<process,…>]
Configure: C:\Users\Desktop\Sysmon -c []
[–|[-h <[sha1|md5|sha256|imphash|],…>] [-n [<process,…>]]
[-l [<process,…>]]]
Uninstall: C:\Users\Desktop\Sysmon -u
-c Update configuration of an installed Sysmon driver or dump the
current configuration if no other argument is provided. Optionally
take a configuration file.
-h Specify the hash algorithms used for image identification (default
is SHA1). It supports multiple algorithms at the same time.
Configuration entry: HashAlgorithms.
-i Install service and driver. Optionally take a configuration file.
-l Log loading of modules. Optionally take a list of processes to track.
-m Install the event manifest (done on service install as well).
-n Log network connections. Optionally take a list of processes to track.
-r Check for signature certificate revocation.
Configuration entry: CheckRevocation.
-s Print configuration schema definition.
-u Uninstall service and driver.

The service logs events immediately and the driver installs as a boot-start
driver to capture activity from early in the boot that the service will write
to the event log when it starts.

On Vista and higher, events are stored in “Applications and Services
Logs/Microsoft/Windows/Sysmon/Operational”. On older systems, events are
written to the System event log.

If you need more information on configuration files, use the '-? config’
command. More examples are available on the Sysinternals website.

Specify -accepteula to automatically accept the EULA on installation,
otherwise you will be interactively prompted to accept it.

Neither install nor uninstall requires a reboot.

i nic się nie dzieje ciągle same błędy, bezpośredni 2klik na Sysmon64.exe powoduje jedynie uruchomienie konsoli z powyższą zawartością.
Nie wiem co robię źle , ale coś na pewno bo nie chodzi jak powinno, co jest nie tak i w jaki sposób to uruchomić?

Z tego co widzę lokalizacja programu to:

C:\Users\Desktop\Sysmon

W pierwszym poleceniu zaś próbujesz go uruchomić z lokalizacji:

C:\Windows\system32

Rozwiązania widzę dwa, albo przenieś program do drugiej lokalizacji, albo dodaj pierwszą do zmiennych środkowiskowych: Zmienne środowiskowe Windows, domyślne wartości, przenoszenie

OK. Lokalizacja pierwotna to faktycznie desktop i z tej lokalizacji próbowałem uruchomić sm .
W pierwszym poleceniu zaś próbujesz go uruchomić z lokalizacji: C:\Windows\system32 - konslola cmd uruchomiona w trybie administratora.

Przeniosłem program do systemu i uruchomiłem poleceniem sysmon -i z tej lokalizacji- wszystko poszło ok do czasu gdy chciałem uruchomić rejestrowanie ruchu przełącznikiem sysmon -i -u tu pojaiwl się komunikat: “Sysmn64 is already installed, uninstall it before change”.
Jak uruchomić rejestrowanie ruchu Sysmon64 -i -u ?

Na stronie Technetu masz rozpisane wszystkie “przełączniki” jakie można zastosować.
-i odpowiada za instalację programu,
-u za jego deinstalację.

Komunikat jest poprawny, uruchamiając drugi raz program z przełącznikiem -i próbujesz zainstalować ponownie program, który już masz zainstalowany. W takim przypadku należy - jak wskazuje komunikat, program usunąć i dopiero ponownie zainstalować.

Z programu nie korzystam, jednak o ile dobrze widzę, to program po instalacji “rejestruje” zdarzenia, które znajdziesz w:

events are stored in “Applications and Services Logs/Microsoft/Windows/Sysmon/Operational”,

Nic nie stoi na przeszkodzie, aby program skonfigurować według własny potrzeb, po szczegóły odsyłam do dokumentacji programu.

O w kurzą twarz , ale sie machnąłem, chodziło mi o Sysmon64 -i -n > rejestrowanie pakietów danych sieci.

Czyli wszystko działa już poprawnie?