Вопросы Теги

Просмотр журналов доступа в Интернет через Powershell

Я только начинаю использовать Windows Event Viewer для просмотра журналов. Я не уверен, где искать журналы, связанные с такими действиями, как:

(New-Object System.Net.WebClient) .DownloadFile ("http://www.somesite.com/file.txt", "file.txt" )

Записывает ли программа просмотра событий такие события? Записывает ли он как успехи, так и неудачи? Я просмотрел журналы приложений, безопасности, настройки и системы, но ничего не нашел. Я даже проверил раздел Powershell в средстве просмотра событий, но опять же ничего не вернул.

1
задан 7 March 2018 в 04:35
3 ответа

Показываемая вами команда связана с PowerShell . Однако ведение журнала PowerShell:

  • Не активировано по умолчанию
  • Требуется установка как минимум PowerShell 4.0 или 5.0
  • Требуется включить функции аудита PowerShell вручную или с помощью GPO (см. Изображение ниже):

Audit settings features

До активируя функции аудита, убедитесь, что вы знаете о 3 различных существующих функциях ведения журнала (подробности в таблице ниже):

  • Ведение журнала модуля
  • Ведение журнала блока сценария
  • Транскрипция

Logging features capacities

После активации журнала вы найдете связанные регистрируется в папке журналов событий Microsoft-Windows-PowerShell / Operational .

Также ниже можно найти список различных идентификаторов событий, созданных во время регистрации: event ID list

Итак, чтобы вкратце ответить на ваши вопросы:

  1. Прочтите эту очень хорошую документацию из FireEye ( источник )
  2. Убедитесь, что ваша система соответствует требованиям.
  3. Обновите до PowerShell 4 или 5, если необходимо
  4. Включите ведение журнала вручную или с помощью GPO
  5. Просмотрите журналы и найдите нужное событие
3
ответ дан 3 December 2019 в 17:34

Журналы событий Windows не регистрируют события веб-активности. Но если это ваш собственный сценарий Powershell, вы можете просто регистрировать эти события самостоятельно (в EventLog - см. Write-EventLog или просто в файл).

В качестве альтернативы вы можете использовать любой сторонний трекер активности в Интернете или включить ведение журнала в Windows межсетевой экран. Но они обычно регистрируют все события (не только из Powershell).

0
ответ дан 3 December 2019 в 17:34

В дополнение к отличному ответу Мишеля, возьмите посмотрите эту статью в блоге , в ней очень подробно объясняется ведение журнала событий PowerShell, включая способы смягчения последствий.

1
ответ дан 3 December 2019 в 17:34

Теги

Похожие вопросы