kleinemeise
12.07.2013
view8633
view2
0
Goto Top

Ereignissanzeige Anwendungs und Dienstprotokolle per WMI auslesen

FrageMicrosoftWindows 7
Hallo Leute,

ich muss per WMI die Eventlogs unter "Anwendungs- und Dienstprotokolle"-->"Microsoft" --> "Windows" --> "Applocker" auslesen.

Leider finde ich keinen WMI Befehlt dafür. Alle "Windows-Protokolle" kann ich problemlos z.B. über

Select * from Win32_NTLogEvent Where Logfile = 'Security'
auslesen

Jemand einen Tip?
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 211351

Url: https://administrator.de/contentid/211351

Ausgedruckt am: 22.11.2024 um 13:11 Uhr

2 Kommentare
Neuester Kommentar
Goto Top
colinardo
colinardo 12.07.2013 um 18:04:23 Uhr
Goto Top
Hallo kleinemeise,
die Protokolle in diesen Ordnern sind keine richtigen Eventlogs sondern eher lokale Anwendungsprotokolle die nicht Systemkritische Informationen enthalten. Diese sind ab Windows Vista neu eingeführt worden und sind meiner Meinung nach nicht über WMI abzufragen. Wenn du Powershell nutzen kannst, kommst du an die Ereignisse so dran:
Get-WinEvent -LogName Microsoft-Windows-Applocker/*

Grüße Uwe
DerWoWusste
DerWoWusste 15.07.2013 aktualisiert um 12:42:49 Uhr
Goto Top
Moin.

Habe mich mal damit beschäftigt und könnte ein Powershellskript bieten, was ausgibt, was in den letzten 24 Std. geblockt wurde, hier speziell die Rubrik exe und dll (in diesem speziellen Skript wird die Ausgabe weiterverarbeitet, deshalb nur das letzte Event):
$UserId = @{N="UserId";e={((New-Object System.Security.Principal.SecurityIdentifier($_.UserId)).Translate([System.Security.Principal.NTAccount])).Value}}  

$Event = Get-winevent -logname "Microsoft-Windows-AppLocker/EXE and DLL" |   
		    Where-Object {$_.id -eq 8004 -and $_.Timecreated -gt (Get-date).AddHours(-24)} | 
			    Sort TimeCreated -Descending | Select $userid,message,TimeCreated -First 1 |fl | Out-File c:\windows\temp\applocker.txt
FrageMicrosoftWindows 7
Mehr von kleinemeisekleinemeiseProbleme beim Zugriff auf eine Samba Freigabekleinemeise - 6 KommentarekleinemeiseAutomatische Abmeldung bei RDP Verbindungen abscdeaktivierenkleinemeise - 3 KommentarekleinemeiseAuf sorbs.net gelistet aber wie austragenkleinemeise - 5 KommentarekleinemeiseVMWare Sicherungs Tool Artikel aus einer des letzten IT-Administrationkleinemeise - 1 Kommentar
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 Kommentare