Esta postagem é sobre a nova ferramenta sysmon da Sysinternals / Microsoft e o log de eventos relacionado a psloglist.exe, também da Sysinternals / Microsoft
Gostaria de consultar o log de eventos do windows do sysmon: "Logs de Aplicativos e Serviços / Microsoft / Windows / Sysmon / Operacional" com PSLoglist.
Na minha máquina com Windows 7, consigo ver (psloglist -z):
Event logs available on <computername>:
ActivationClientLibrary
Application
Cisco AnyConnect Secure Mobility Client
Dell
HardwareEvents
Internet Explorer
Key Management Service
Media Center
ODiag
OSession
Security
Symantec Enterprise Vault
Symantec Enterprise Vault Converters
System
Windows PowerShell
De acordo com o psloglist, estes são os registros de eventos 'registrados' no meu computador. Sysmon / Operacional não está (ainda) incluído nesta lista. Por causa disso, o psloglist não pode acessar este log.
Pergunta: Como faço para registrar este log para que o psloglist possa ter acesso ao seu conteúdo?
Obrigado -
Rob
O seguinte não é a resposta, mas é a minha solução provisória ...
No visualizador de eventos no log \ sysmon operacional, clique com o botão direito, escolha "salvar todos os eventos como ..." salvar como um arquivo evtx ... por exemplo sysmon.evtx
Eu procuro via psloglist -d 999 -r -s -t \ t -x -l sysmon.evtx sys > sysmon.txt
Não é o que eu prefiro, mas é utilizável por enquanto.