Ereignissanzeige Anwendungs und Dienstprotokolle per WMI auslesen
Hallo Leute,
ich muss per WMI die Eventlogs unter "Anwendungs- und Dienstprotokolle"-->"Microsoft" --> "Windows" --> "Applocker" auslesen.
Leider finde ich keinen WMI Befehlt dafür. Alle "Windows-Protokolle" kann ich problemlos z.B. über
auslesen
Jemand einen Tip?
ich muss per WMI die Eventlogs unter "Anwendungs- und Dienstprotokolle"-->"Microsoft" --> "Windows" --> "Applocker" auslesen.
Leider finde ich keinen WMI Befehlt dafür. Alle "Windows-Protokolle" kann ich problemlos z.B. über
Select * from Win32_NTLogEvent Where Logfile = 'Security'
Jemand einen Tip?
Please also mark the comments that contributed to the solution of the article
Content-Key: 211351
Url: https://administrator.de/contentid/211351
Printed on: April 18, 2024 at 20:04 o'clock
2 Comments
Latest comment
Hallo kleinemeise,
die Protokolle in diesen Ordnern sind keine richtigen Eventlogs sondern eher lokale Anwendungsprotokolle die nicht Systemkritische Informationen enthalten. Diese sind ab Windows Vista neu eingeführt worden und sind meiner Meinung nach nicht über WMI abzufragen. Wenn du Powershell nutzen kannst, kommst du an die Ereignisse so dran:
Grüße Uwe
die Protokolle in diesen Ordnern sind keine richtigen Eventlogs sondern eher lokale Anwendungsprotokolle die nicht Systemkritische Informationen enthalten. Diese sind ab Windows Vista neu eingeführt worden und sind meiner Meinung nach nicht über WMI abzufragen. Wenn du Powershell nutzen kannst, kommst du an die Ereignisse so dran:
Get-WinEvent -LogName Microsoft-Windows-Applocker/*
Grüße Uwe
Moin.
Habe mich mal damit beschäftigt und könnte ein Powershellskript bieten, was ausgibt, was in den letzten 24 Std. geblockt wurde, hier speziell die Rubrik exe und dll (in diesem speziellen Skript wird die Ausgabe weiterverarbeitet, deshalb nur das letzte Event):
Habe mich mal damit beschäftigt und könnte ein Powershellskript bieten, was ausgibt, was in den letzten 24 Std. geblockt wurde, hier speziell die Rubrik exe und dll (in diesem speziellen Skript wird die Ausgabe weiterverarbeitet, deshalb nur das letzte Event):
$UserId = @{N="UserId";e={((New-Object System.Security.Principal.SecurityIdentifier($_.UserId)).Translate([System.Security.Principal.NTAccount])).Value}}
$Event = Get-winevent -logname "Microsoft-Windows-AppLocker/EXE and DLL" |
Where-Object {$_.id -eq 8004 -and $_.Timecreated -gt (Get-date).AddHours(-24)} |
Sort TimeCreated -Descending | Select $userid,message,TimeCreated -First 1 |fl | Out-File c:\windows\temp\applocker.txt