Я только начинаю использовать Windows Event Viewer для просмотра журналов. Я не уверен, где искать журналы, связанные с такими действиями, как:
(New-Object System.Net.WebClient) .DownloadFile ("http://www.somesite.com/file.txt", "file.txt" )
Записывает ли программа просмотра событий такие события? Записывает ли он как успехи, так и неудачи? Я просмотрел журналы приложений, безопасности, настройки и системы, но ничего не нашел. Я даже проверил раздел Powershell в средстве просмотра событий, но опять же ничего не вернул.
Показываемая вами команда связана с PowerShell . Однако ведение журнала PowerShell:
До активируя функции аудита, убедитесь, что вы знаете о 3 различных существующих функциях ведения журнала (подробности в таблице ниже):
После активации журнала вы найдете связанные регистрируется в папке журналов событий Microsoft-Windows-PowerShell / Operational .
Также ниже можно найти список различных идентификаторов событий, созданных во время регистрации:
Итак, чтобы вкратце ответить на ваши вопросы:
- Прочтите эту очень хорошую документацию из FireEye ( источник )
- Убедитесь, что ваша система соответствует требованиям.
- Обновите до PowerShell 4 или 5, если необходимо
- Включите ведение журнала вручную или с помощью GPO
- Просмотрите журналы и найдите нужное событие
Журналы событий Windows не регистрируют события веб-активности. Но если это ваш собственный сценарий Powershell, вы можете просто регистрировать эти события самостоятельно (в EventLog - см. Write-EventLog или просто в файл).
В качестве альтернативы вы можете использовать любой сторонний трекер активности в Интернете или включить ведение журнала в Windows межсетевой экран. Но они обычно регистрируют все события (не только из Powershell).
В дополнение к отличному ответу Мишеля, возьмите посмотрите эту статью в блоге , в ней очень подробно объясняется ведение журнала событий PowerShell, включая способы смягчения последствий.