Назад | Перейти на главную страницу

Сообщение об обновлении и сканировании SCEP

Я использую Microsoft System Center Endpoint Protection на всех управляемых мной рабочих станциях. Для всех трех основных платформ очень сложно заставить его сообщать, когда он последний раз обновлялся и проверялся. Анализируя системные журналы, я смог получить даты для Mac и Linux, но Windows была очень неуловимой.

Я могу видеть дату и время в графическом интерфейсе пользователя, но это непрактично для создания автоматического отчета на десятках компьютеров. Кто-нибудь знает способ (желательно с помощью PowerShell, но я могу заставить все работать) вывести эти данные с помощью какого-то скрипта?

Хорошо, поэтому я написал следующий сценарий PowerShell для извлечения даты последнего обновления из журнала. В функции ведения журнала SCEP "успешно" есть опечатка, поэтому, когда вы заметили, что у меня также есть опечатка в приведенном ниже коде, она должна совпадать с той, что есть в журналах, которые я ищу.

$a=Select-String -Pattern "Update completed succesfully" -Path C:\Windows\Temp\MpCmdRun.log | Foreach {($_ -split ':')[2]}

$lineNumber = $($a | measure -Maximum).Maximum + 1

$lastUpdate = Get-Content -Path C:\Windows\Temp\MpCmdRun.log | Select-Object -Index $lineNumber | Foreach {($_ -split ':\s')[2]}

$lastUpdate = $lastUpdate.Replace("$([char]8206)","")

Write-Host "scep_last_update=$lastUpdate"

Ну согласно этому Страница Technet о Forefront Enterprise Protection (Это тот же продукт, что и SCEP, тот же продукт, что и Security Essentials и т. Д., И т. Д.), Для продукта существуют следующие местоположения журналов, которые вы можете проанализировать с помощью некоторой PowerShell для получения информации, которую вы ищете:

  • %allusersprofile%\Microsoft\Microsoft Antimalware\Support
    • Файлы журнала, относящиеся к службе защиты от вредоносных программ
  • %allusersprofile%\Microsoft\Microsoft Security Client\Support
    • Файлы журнала, относящиеся к клиентскому программному обеспечению SCEP
  • %windir%\WindowsUpdate.log
    • Файлы журнала Центра обновления Windows, содержащие информацию об обновлениях определений.
  • %windir%\CCM\Logs\EndpointProtectionagent.log
    • Показывает версию конечной точки и примененные политики
  • %windir%\temp\MpCmdRun.log
    • Активность при сканировании и обновлении сигнатур
  • %windir%\temp\MpSigStub.log
    • Ход обновления сигнатур и обновлений движка

Я также наткнулся на собственные командлеты для SCEP, которые вы можете перечислить с помощью: Get-Command -Module MpProvider, но они не стали бы поступать со мной, я не мог Update-Help или найти информацию о них на сайтах Microsoft ... так что я сдался. Возможно, вам повезет больше - они кажутся в основном такими же, как командлеты для Защитника Windows.