前言

今天想安裝sysmon來對windows系統日志進行安全研究的時候，發現本機（WIN10）成功安裝了，但是在靶機win7和win2008上安裝時都出現了同樣的錯誤信息：“error getting the evt dll (wevtapi.dll): 87”。以下是解決安裝問題的方法。

一、安裝補丁

一開始以為是系統環境缺少了“wevtapi.dll”這個文件，但是在系統文件中發現并不缺少，即使從網上下別的版本進行注冊，問題依舊存在，應該不是缺少文件的問題了，最后才知道是由于沒打系統補丁導致的安裝失敗。

參考文章：Sysmon 10.41 installation Issue

怕你訪問不了網址，我把關鍵的評論截下來。

一共需要兩個補丁，分別是KB2533623和KB3033929,可以自己直接百度去下載。

KB2533623：主要解決不安全的庫加載可能允許遠程執行代碼問題。
KB3033929：微軟計劃在2017年1月1日全部停用不安全的SHA-1哈希算法的代碼簽名證書，升級為SHA-2算法的代碼簽名證書。

win2008R2 在安裝KB3033929時會被提示“更新不適用”，需要先安裝SP1補丁KB976932，安裝完成后再安裝KB3033929即能安裝成功。

補丁和sysmon資源分享：
鏈接：https://pan.baidu.com/s/16sG4QdBcUIy65_NUKL1L5Q
提取碼：2yfw

二、成功安裝sysmon

在sysmon安裝程序目錄下運行”sysmon64.exe -i “即可安裝。


sysmon的事件日志成功抓取到進程日志。

總結

以上是生活随笔為你收集整理的sysmon安装报错“error getting the evt dll (wevtapi.dll): 87”解决办法的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。