kleinemeise
Goto Top

Ereignissanzeige Anwendungs und Dienstprotokolle per WMI auslesen

Hallo Leute,

ich muss per WMI die Eventlogs unter "Anwendungs- und Dienstprotokolle"-->"Microsoft" --> "Windows" --> "Applocker" auslesen.

Leider finde ich keinen WMI Befehlt dafür. Alle "Windows-Protokolle" kann ich problemlos z.B. über

Select * from Win32_NTLogEvent Where Logfile = 'Security'   
auslesen

Jemand einen Tip?

Content-ID: 211351

Url: https://administrator.de/forum/ereignissanzeige-anwendungs-und-dienstprotokolle-per-wmi-auslesen-211351.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

colinardo
colinardo 12.07.2013 um 18:04:23 Uhr
Goto Top
Hallo kleinemeise,
die Protokolle in diesen Ordnern sind keine richtigen Eventlogs sondern eher lokale Anwendungsprotokolle die nicht Systemkritische Informationen enthalten. Diese sind ab Windows Vista neu eingeführt worden und sind meiner Meinung nach nicht über WMI abzufragen. Wenn du Powershell nutzen kannst, kommst du an die Ereignisse so dran:
Get-WinEvent -LogName Microsoft-Windows-Applocker/*

Grüße Uwe
DerWoWusste
DerWoWusste 15.07.2013 aktualisiert um 12:42:49 Uhr
Goto Top
Moin.

Habe mich mal damit beschäftigt und könnte ein Powershellskript bieten, was ausgibt, was in den letzten 24 Std. geblockt wurde, hier speziell die Rubrik exe und dll (in diesem speziellen Skript wird die Ausgabe weiterverarbeitet, deshalb nur das letzte Event):
$UserId = @{N="UserId";e={((New-Object System.Security.Principal.SecurityIdentifier($_.UserId)).Translate([System.Security.Principal.NTAccount])).Value}}  

$Event = Get-winevent -logname "Microsoft-Windows-AppLocker/EXE and DLL" |   
		    Where-Object {$_.id -eq 8004 -and $_.Timecreated -gt (Get-date).AddHours(-24)} | 
			    Sort TimeCreated -Descending | Select $userid,message,TimeCreated -First 1 |fl | Out-File c:\windows\temp\applocker.txt