Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ereignissanzeige Anwendungs und Dienstprotokolle per WMI auslesen

Frage Microsoft Windows 7

Mitglied: kleinemeise

kleinemeise (Level 1) - Jetzt verbinden

12.07.2013 um 17:11 Uhr, 3716 Aufrufe, 2 Kommentare

Hallo Leute,

ich muss per WMI die Eventlogs unter "Anwendungs- und Dienstprotokolle"-->"Microsoft" --> "Windows" --> "Applocker" auslesen.

Leider finde ich keinen WMI Befehlt dafür. Alle "Windows-Protokolle" kann ich problemlos z.B. über

01.
Select * from Win32_NTLogEvent Where Logfile = 'Security' 
auslesen

Jemand einen Tip?
Mitglied: colinardo
12.07.2013 um 18:04 Uhr
Hallo kleinemeise,
die Protokolle in diesen Ordnern sind keine richtigen Eventlogs sondern eher lokale Anwendungsprotokolle die nicht Systemkritische Informationen enthalten. Diese sind ab Windows Vista neu eingeführt worden und sind meiner Meinung nach nicht über WMI abzufragen. Wenn du Powershell nutzen kannst, kommst du an die Ereignisse so dran:
01.
Get-WinEvent -LogName Microsoft-Windows-Applocker/*
Grüße Uwe
Bitte warten ..
Mitglied: DerWoWusste
15.07.2013, aktualisiert um 12:42 Uhr
Moin.

Habe mich mal damit beschäftigt und könnte ein Powershellskript bieten, was ausgibt, was in den letzten 24 Std. geblockt wurde, hier speziell die Rubrik exe und dll (in diesem speziellen Skript wird die Ausgabe weiterverarbeitet, deshalb nur das letzte Event):
01.
$UserId = @{N="UserId";e={((New-Object System.Security.Principal.SecurityIdentifier($_.UserId)).Translate([System.Security.Principal.NTAccount])).Value}} 
02.
 
03.
$Event = Get-winevent -logname "Microsoft-Windows-AppLocker/EXE and DLL" |  
04.
		    Where-Object {$_.id -eq 8004 -and $_.Timecreated -gt (Get-date).AddHours(-24)} |  
05.
			    Sort TimeCreated -Descending | Select $userid,message,TimeCreated -First 1 |fl | Out-File c:\windows\temp\applocker.txt
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Umgebungsvariable "PATH" für eine Anwendung anpassen (7)

Frage von enno zum Thema Batch & Shell ...

Batch & Shell
gelöst Powershell - WMI Return Codes unterdrücken, WIE? (3)

Frage von instinctless zum Thema Batch & Shell ...

Visual Studio
gelöst Frage zur WMI Klasse Win32 ShadowStorage (4)

Frage von emeriks zum Thema Visual Studio ...

Visual Studio
ClickOnce: Anwendung vom Administrator blockiert (6)

Frage von Christtian zum Thema Visual Studio ...

Neue Wissensbeiträge
Hardware

GPD Pocket: Winziger Laptop für Wenig Tipper

(1)

Information von pelzfrucht zum Thema Hardware ...

Windows 10

Heise Newsticker: Microsoft veröffentlicht das "Fall Creators Update

(10)

Information von Penny.Cilin zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows Server
gelöst Gruppenrichtlinie greift nicht zu! (23)

Frage von Syosse zum Thema Windows Server ...

Hosting & Housing
Mailserver Software Empfehlungen (20)

Frage von sunics zum Thema Hosting & Housing ...

Windows 7
gelöst Windows 7 Anmeldedomäne festlegen (13)

Frage von flotaut zum Thema Windows 7 ...