bobby-tablez/Enable-All-The-Logs

GitHub: bobby-tablez/Enable-All-The-Logs

一键增强 Windows 终端日志遥测的自动化脚本,集成 Sysmon 部署与多项关键审计策略配置,专为高级威胁检测和恶意软件分析而设计。

Stars: 43 | Forks: 10

# 开启所有日志! ![enable_all_the_logs_banner](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/bf0972af24005440.png) 此脚本可自动增强 Windows 主机上的日志遥测功能。它是专门为威胁检测而设计的,其中日志记录对于 SIEM 环境中的检测,或在实验室环境中进行模拟、验证或恶意软件分析至关重要。此脚本也可用于生产环境,但您可能需要 fork 或克隆该脚本以根据需要调整 GPO 编辑,因为它会显著增加日志量。 已在 Windows Server 2019/2022 和 Windows 10/11 上测试 此脚本执行以下操作: * 从以下地址下载 Sysmon:https://download.sysinternals.com/files/Sysmon.zip * 从以下地址下载 Sysmon 配置导入文件:https://raw.githubusercontent.com/bobby-tablez/FT-Sysmon-Config/master/ft-sysmonconfig-export.xml * 安装 Sysmon(如果已存在则重新安装) * 启用 PowerShell 脚本块日志记录 (EVID 4104) * 启用 PowerShell 模块日志记录 (EVID 4103) * 启用事件 ID 4688 * 启用命令行日志记录到进程启动事件 (EVID 4688) * 基于 https://www.ultimatewindowssecurity.com/wiki/page.aspx?spid=RecBaselineAudPol 启用 GPO 审核策略 * 更新 GPO * 清理临时下载文件 ### 用法 如果您的目标只是下载并安装 Sysmon,可以将 `-sysmononly` 参数传递给脚本。否则,在不带任何参数的情况下运行脚本将安装 Sysmon,启用 PowerShell 脚本块/模块日志记录并进行 GPO 更改。 `-y` 参数也可用于跳过提示消息。 `-config` 参数用于提供您自己的 Sysmon XML 配置文件的直接 URL,而不是上面提到的默认配置。 `-driver` 参数用于修改 Sysmon 驱动程序名称。适用于对抗分析或规避操作。 `-name` 参数会在安装前重命名 Sysmon 二进制文件。这会有效地修改服务名称。同样适用于规避操作。来源:https://www.darkoperator.com/blog/2018/10/5/operating-offensively-against-sysmon ### 通过 PowerShell 执行: ``` irm https://raw.githubusercontent.com/bobby-tablez/Enable-All-The-Logs/main/enable_logs.ps1|iex ``` ![enable_all_the_logs_run](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/5ccc9bddaf005447.png) ### 用于检查 Sysmon 安装的脚本。如果不存在则部署: ``` #Requires -RunAsAdministrator $sysmonProc = Get-Process -Name Sysmon* -ErrorAction SilentlyContinue if ($sysmonProc) { Write-Host "Sysmon is already installed! Quitting..." Start-Sleep -Seconds 2 } else { $Url = "https://raw.githubusercontent.com/bobby-tablez/Enable-All-The-Logs/main/enable_logs.ps1" $script = "$env:TMP\enable_logs.ps1" Invoke-WebRequest -Uri $Url -OutFile $script -UseBasicParsing $run = "$script -sysmononly -y -driver sccm -name sccm_service.exe" Invoke-Expression $run Start-Sleep -Seconds 2 Remove-Item $script } ``` 其他参考:https://www.securonix.com/blog/improving-blue-team-threat-detection-with-enhanced-siem-telemetry/ ### 免责声明:欢迎自行 fork 并使用,风险自负!
标签:AI合规, AMSI绕过, Conpot, DAST, GPO配置, Libemu, PB级数据处理, PowerShell日志, Sysmon, TGT, Windows安全, 事件日志, 威胁检测, 安全基线, 安全脚本, 安全运维, 库, 应急响应, 恶意软件分析, 攻防演练, 教学环境, 数字取证, 数字取证, 数据展示, 日志遥测, 端点安全, 系统加固, 系统日志增强, 红队, 组策略, 自动化脚本, 自动化脚本, 补丁管理, 防御绕过