Назад | Перейти на главную страницу

Просмотр журналов доступа в Интернет через Powershell

Я только начинаю использовать Windows Event Viewer для просмотра журналов. Я не уверен, где искать журналы, связанные с такими действиями, как:

(New-Object System.Net.WebClient).DownloadFile("http://www.somesite.com/file.txt", "file.txt")

Записывает ли программа просмотра событий такие события? Записывает ли он как успехи, так и неудачи? Я просмотрел журналы приложений, безопасности, настройки и системы, но ничего не нашел. Я даже проверил раздел Powershell в средстве просмотра событий, но опять же ничего не вернул.

Показываемая вами команда связана с PowerShell. Однако ведение журнала PowerShell:

  • Не активирован по умолчанию
  • Требуется установка как минимум PowerShell 4.0 или 5.0
  • Требовать включить функции аудита PowerShell вручную или с помощью GPO (см. Изображение ниже):

Перед активацией функций аудита убедитесь, что вы знаете о 3 различных существующих функциях ведения журнала (подробности в таблице ниже):

  • Ведение журнала модуля
  • Ведение журнала блока скрипта
  • Транскрипция

Как только ведение журнала будет активировано, вы найдете соответствующие журналы в Microsoft-Windows-PowerShell / Оперативный папка журналов событий.

Также найдите ниже список различных идентификаторов событий, созданных во время регистрации:

Итак, чтобы вкратце ответить на ваши вопросы:

  1. Прочтите эту очень хорошую документацию от FireEye (источник)
  2. Убедитесь, что ваша система соответствует требованиям
  3. При необходимости обновитесь до PowerShell 4 или 5.
  4. Включить ведение журнала вручную или с помощью GPO
  5. Загляните в журналы и найдите нужное событие

Помимо отличного ответа Мишеля, взгляните на эта статья в блоге, в нем подробно объясняется ведение журнала событий PowerShell, включая способы смягчения последствий.

Журналы событий Windows не регистрируют события веб-активности. Но если это ваш собственный сценарий Powershell, вы можете просто регистрировать эти события самостоятельно (в EventLog - см. Write-EventLog или просто в файл).

Кроме того, вы можете использовать любой сторонний трекер интернет-активности или включить ведение журнала в брандмауэре Windows. Но они обычно регистрируют все события (не только из Powershell).