Я делаю кое-что из PowerShell, чтобы проанализировать несколько журналов на работе. Я также хотел бы собрать некоторую информацию из журналов SCEP. Я считаю, что количество доступных журналов, а также различные места, в которых они хранятся, немного ошеломляют, если не сказать больше.
Я хотел бы извлечь журналы, в которых сообщалось, что потенциальный вирус был обнаружен как в реальном, так и в «обычном» сканере.
Здесь уже был дан ответ на похожий вопрос: Сообщение об обновлении и сканировании SCEP
у меня есть eicar для тестирования здесь. Итак, как мне имитировать потенциальный положительный результат в обоих сканерах, чтобы я мог выяснить, в какой файл регистрируются сканеры?
заранее спасибо
Андрей
что касается "обычного" сканера в %systemdrive%\ProgramData\Microsoft\Microsoft Antimalware\Support\ MPLog-XXXXXXXX-XXXXXX.log предлагает массу информации.
Вот несколько интересных шаблонов для поиска:
Threat Name # record(s) of malware detection
signature updated via # self-explanatory
scan source # record of scheduled scan/running scan on demand
Expensive file # expensive i.e. large files found during a scan (this information can be used to enhance scanning performance)
Как бы то ни было, живые детекции в вышеупомянутый файл явно не записываются!