Visualização de registros para acesso à Internet por meio do Powershell

Navegue suas respostas
1

Estou apenas começando a usar o Visualizador de Eventos do Windows para exibir logs. Não sei ao certo onde procurar registros relacionados a atividades como:

(New-Object System.Net.WebClient).DownloadFile("http://www.somesite.com/file.txt", "file.txt")

O visualizador de eventos registra esses eventos? Registra-se tanto no sucesso como no fracasso? Examinei os logs do aplicativo, segurança, configuração e sistema, mas não consegui encontrar nada lá. Chequei até a seção Powershell do Visualizador de Eventos, mas, novamente, não retornou nada.

    
por user1720897 07.03.2018 / 03:35

3 respostas

3

O comando que você mostra está relacionado ao PowerShell . No entanto, o log do PowerShell:

  • não está ativado por padrão
  • Exigir pelo menos que o PowerShell 4.0 ou 5.0 seja instalado
  • Exigem ativar os recursos de auditoria do PowerShell manualmente ou por GPO (veja a imagem abaixo):

Antesdeativarosrecursosdeauditoria,certifique-sedeestarcientedostrêsdiferentesrecursosexistentesderegistro(detalhesnatabelaabaixo):

  • Criaçãodelogdomódulo
  • Criaçãodelogdeblocodescript
  • Transcrição

Quandooregistroforativado,vocêencontrarálogsrelacionadosnapastadelogsdeeventosMicrosoft-Windows-PowerShell/Operacional.

VejatambémabaixoumalistadosdiferentesIDsdeeventosproduzidosduranteoregistro:

Sotoansweryourquestionsinanutshell:

  1. ReadthisverygooddocumenationfromFireEye(source)
  2. Ensure your system is compliant
  3. Upgrade to PowerShell 4 or 5 if necessary
  4. Enable logging manually or by GPO
  5. Look into the logs and search for the proper event
    
por 07.03.2018 / 11:38
1

Além da ótima resposta de Michel, dê uma olhada em artigo do blog , explica detalhadamente o registro de eventos do PowerShell, incluindo formas de mitigar.

    
por 07.03.2018 / 16:21
0

Os registros de eventos do Windows não registram eventos de atividade na web. Mas se for o seu próprio script Powershell, você pode simplesmente registrar esses eventos você mesmo (no EventLog - veja Write-EventLog ou apenas em um arquivo).

Como alternativa, você pode usar qualquer rastreador de atividades da Internet de terceiros ou ativar o registro no firewall do Windows. Mas eles geralmente registram todos os eventos (não apenas do Powershell).

    
por 07.03.2018 / 11:44

Tags

Quando a integridade de um banco de dados de caixa de correio do Exchange 2013 é questionável, é seguro simplesmente "mover" as caixas de correio ou elas precisam ser exportadas? Não é possível ativar o site no apache