Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ereignissanzeige Anwendungs und Dienstprotokolle per WMI auslesen

Frage Microsoft Windows 7

Mitglied: kleinemeise

kleinemeise (Level 1) - Jetzt verbinden

12.07.2013 um 17:11 Uhr, 3611 Aufrufe, 2 Kommentare

Hallo Leute,

ich muss per WMI die Eventlogs unter "Anwendungs- und Dienstprotokolle"-->"Microsoft" --> "Windows" --> "Applocker" auslesen.

Leider finde ich keinen WMI Befehlt dafür. Alle "Windows-Protokolle" kann ich problemlos z.B. über

01.
Select * from Win32_NTLogEvent Where Logfile = 'Security' 
auslesen

Jemand einen Tip?
Mitglied: colinardo
12.07.2013 um 18:04 Uhr
Hallo kleinemeise,
die Protokolle in diesen Ordnern sind keine richtigen Eventlogs sondern eher lokale Anwendungsprotokolle die nicht Systemkritische Informationen enthalten. Diese sind ab Windows Vista neu eingeführt worden und sind meiner Meinung nach nicht über WMI abzufragen. Wenn du Powershell nutzen kannst, kommst du an die Ereignisse so dran:
01.
Get-WinEvent -LogName Microsoft-Windows-Applocker/*
Grüße Uwe
Bitte warten ..
Mitglied: DerWoWusste
15.07.2013, aktualisiert um 12:42 Uhr
Moin.

Habe mich mal damit beschäftigt und könnte ein Powershellskript bieten, was ausgibt, was in den letzten 24 Std. geblockt wurde, hier speziell die Rubrik exe und dll (in diesem speziellen Skript wird die Ausgabe weiterverarbeitet, deshalb nur das letzte Event):
01.
$UserId = @{N="UserId";e={((New-Object System.Security.Principal.SecurityIdentifier($_.UserId)).Translate([System.Security.Principal.NTAccount])).Value}} 
02.
 
03.
$Event = Get-winevent -logname "Microsoft-Windows-AppLocker/EXE and DLL" |  
04.
		    Where-Object {$_.id -eq 8004 -and $_.Timecreated -gt (Get-date).AddHours(-24)} |  
05.
			    Sort TimeCreated -Descending | Select $userid,message,TimeCreated -First 1 |fl | Out-File c:\windows\temp\applocker.txt
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Mit Powershell am AD Controller die aktiven Usersessions auslesen (1)

Frage von arduino zum Thema Windows Userverwaltung ...

Windows Installation
gelöst Vorinstalliertes Betriebssystem auslesen (BIOS) (14)

Frage von Yauhun zum Thema Windows Installation ...

Batch & Shell
gelöst Daten mit Mediainfo auslesen (17)

Frage von Dr.Byte zum Thema Batch & Shell ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Windows Update
gelöst MS: Update-Server-Adressen OHNE Wildcards (17)

Frage von mrserious73 zum Thema Windows Update ...

Viren und Trojaner
Ransomware .nm4 (14)

Frage von Zyklo92 zum Thema Viren und Trojaner ...

Microsoft Office
+1.000 Ordner in Outlook: Wie besser? (11)

Frage von Matsushita zum Thema Microsoft Office ...