Geekly articles weekly

рдЧреИрд░-рдкреНрд░рд╢рд╛рд╕рдирд┐рдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд╕рд╛рде рд╕реБрд░рдХреНрд╖рд╛ рд▓реЙрдЧ рдХреИрд╕реЗ рдкреНрд░рд╛рдкреНрдд рдХрд░реЗрдВ



рд╣рд╛рдп рд╣рдорд░! рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░реЛрдВ рдХреЗ рдмрд┐рдирд╛ рд╡рд┐рдВрдбреЛрдЬ рд╕реБрд░рдХреНрд╖рд╛ рд▓реЙрдЧ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдмрд┐рд▓реНрд▓реА рдХреЗ рдиреАрдЪреЗ рдкрдврд╝реЗрдВред рдпрд╣ рд╡рд┐рдВрдбреЛрдЬ рд▓реЙрдЧреНрд╕ рд╕реЗ рдЬреБрдбрд╝рд╛ рд╣реИрдмрд░ рдкрд░ рдкрд╣рд▓рд╛ рд▓реЗрдЦ рдирд╣реАрдВ рд╣реЛрдЧрд╛ рдФрд░ рд╢рд╛рдпрдж рд╕рдмрд╕реЗ рдореВрд▓ рдПрдХ рдирд╣реАрдВ рд╣реИ, рд▓реЗрдХрд┐рди рдореЗрд░реА рд░рд╛рдп рдореЗрдВ рдореИрдВрдиреЗ рдПрдХ рд╕рд╛рдзрд╛рд░рдг рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд░реВрдк рдореЗрдВ рд▓реЙрдЧ рдкрдврд╝рдиреЗ рдХреЗ рд▓рд┐рдП рдПрдХ рд╕рд░рд▓ рд╕рдорд╛рдзрд╛рди рдЦреЛрдЬрдиреЗ рдореЗрдВ рдмрд╣реБрдд рд╕рдордп рдмрд┐рддрд╛рдпрд╛, рдЗрд╕рд▓рд┐рдП рдореИрдВрдиреЗ "рд╕рдлрд▓рддрд╛ рдХреА рдХрд╣рд╛рдиреА" рд╕рд╛рдЭрд╛ рдХрд░рдиреЗ рдХрд╛ рдлреИрд╕рд▓рд╛ рдХрд┐рдпрд╛ред

рдореБрдЭреЗ рдЧреЗрдЯрд╡реЗ-рд╡рд┐рдирд╡реЗрдВрдЯ рдФрд░ рдЧреЗрдЯ-рдЗрд╡реЗрдВрдЯрд▓реЙрдЧ cmdlets рдХреЗ рд╕рд╛рде рдкреЙрд╡рд░реНрд╕рд╢реЗрд▓ cmdlets рдХреЗ рдкреНрд░рджрд░реНрд╢рди рдХреА рддреБрд▓рдирд╛ рднреА рдХрд░рдиреА рдереАред

рдХрдЯ рдХреЗ рддрд╣рдд рдЬреЛ рдХреБрдЫ рднреА рд╣реИ рд╡рд╣ рд╡рд┐рдВрдбреЛрдЬ рд╕рд░реНрд╡рд░ 2008R2 / 2012R2, рд╡рд┐рдВрдбреЛрдЬ 10 рдкреНрд░реЛ (1809) рдХреЗ рд▓рд┐рдП рдкреНрд░рд╛рд╕рдВрдЧрд┐рдХ рд╣реИ, рдореИрдВрдиреЗ рдЕрдиреНрдп рд╕рдВрд╕реНрдХрд░рдгреЛрдВ рдкрд░ рдЬрд╛рдВрдЪ рдирд╣реАрдВ рдХреА, рдореБрдЭреЗ рд▓рдЧрддрд╛ рд╣реИ рдХрд┐ 2016 рдФрд░ 2019 рдХреЗ рдЙрддреНрдкрд╛рджреЛрдВ рдХреЗ рд╕рд╛рде рд╕реНрдерд┐рддрд┐ рд╕рдорд╛рди рд╣реИред

рдФрд░ рдЗрд╕рд▓рд┐рдП, рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ, рдФрд╕рдд рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЛ рд╕реБрд░рдХреНрд╖рд╛ рд▓реЙрдЧ рдкрдврд╝рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рдирд╣реАрдВ рд╣реИред
рдЬрдм рдЖрдк рд▓реЙрдЧ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд░рддреЗ рд╣реИрдВ, рддреЛ рдЖрдкрдХреЛ рдПрдХ рддреНрд░реБрдЯрд┐ рдорд┐рд▓рддреА рд╣реИред



рдФрд░ рдЗрд╡реЗрдВрдЯ рд╡реНрдпреВрдЕрд░ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рднреА рдкреНрд░рд╡реЗрд╢ рд╕реЗ рд╡рдВрдЪрд┐рдд рдХрд░ рджрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛ред



рд╢реЛрдЯрд╛рдЗрдо


рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЛ рд╕реНрдерд╛рдиреАрдп рдИрд╡реЗрдВрдЯ рд▓реЙрдЧ рд░реАрдбрд░ рд╕рдореВрд╣ рдореЗрдВ рдЬреЛрдбрд╝реЗрдВред



рдЗрд╕рдХреЗ рдмрд╛рдж, рд╣рдо MACHINE \ System \ CurrentControlSet \ Services \ Eventlog \ Security рд░рдЬрд┐рд╕реНрдЯреНрд░реА рд╢рд╛рдЦрд╛ рдХреЛ рд░реАрдб рдкрд░рдорд┐рд╢рди рджреЗрддреЗ рд╣реИрдВред



рдЗрд╕ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рд╢рд╛рдЦрд╛ рдХреЗ рдЕрдзрд┐рдХрд╛рд░реЛрдВ рдХреЛ рдмрджрд▓реЗ рдмрд┐рдирд╛, рдЖрдк рд╕реБрд░рдХреНрд╖рд╛ рд▓реЙрдЧ рдХреЗ рдорд╛рдкрджрдВрдбреЛрдВ рдХреЛ рдкрдврд╝рдиреЗ рдореЗрдВ рд╕рдХреНрд╖рдо рдирд╣реАрдВ рд╣реЛрдВрдЧреЗ, рддрджрдиреБрд╕рд╛рд░, рдЖрдк рд▓реЙрдЧ рдлрд╝рд╛рдЗрд▓ рдХреЗ рд╕реНрдерд╛рди рдФрд░ рдирд╛рдо рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рдиреЗ рдореЗрдВ рд╕рдХреНрд╖рдо рдирд╣реАрдВ рд╣реЛрдВрдЧреЗред рд╕реБрд░рдХреНрд╖рд╛ , рдпрд╣ Eventlog рд╕реЗрд╡рд╛ рдХрд╛ рдПрдХрдорд╛рддреНрд░ рдЦрдВрдб рд╣реИ рдЬреЛ рд░реВрдЯ рд╕реЗ рдПрдХреНрд╕реЗрд╕ рдЕрдзрд┐рдХрд╛рд░ рдкреНрд░рд╛рдкреНрдд рдирд╣реАрдВ рдХрд░рддрд╛ рд╣реИред

рдпрд╣ рд╡рд╣реА рд╣реИ рдЬреЛ MACHINE \ System \ CurrentControlSet \ Services \ Eventlog рдХреЗ рд▓рд┐рдП рдЕрдиреБрдорддрд┐рдпрд╛рдБ рдЬреИрд╕рд╛ рджрд┐рдЦрддрд╛ рд╣реИред



рдЬрд╛рдБрдЪ рд▓реЗрдВ рдХрд┐ рджреЛрдиреЛрдВ Get-WinEvent рдФрд░ Get-EventLog cmdlets рдХрд╛рдо рдХрд░рддреЗ рд╣реИрдВ!
рдмрд╛рдж рдореЗрдВ, рдЗрди cmdlets рдХреА рддреБрд▓рдирд╛ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╡рд╛рдкрд╕ ...



рдСрдбрд┐рдЯрд┐рдВрдЧ рдФрд░ рд╕реБрд░рдХреНрд╖рд╛ рд▓реЙрдЧ рдкреНрд░рдмрдВрдзрд┐рдд рдХрд░реЗрдВ


рдпрджрд┐ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЛ рд▓реЙрдЧ рдХреЛ рдЦрд╛рд▓реА рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЕрдзрд┐рдХрд╛рд░ рджрд┐рдП рдЬрд╛рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ, рддреЛ рдЖрдкрдХреЛ рд╕рдореВрд╣ рдиреАрддрд┐ рдХреЛ рд╕рдВрдкрд╛рджрд┐рдд рдХрд░рдирд╛ рд╣реЛрдЧрд╛ред рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдпрд╛ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЗ рд╕рдореВрд╣ рдХреЛ рдСрдбрд┐рдЯрд┐рдВрдЧ рдФрд░ рд╕реБрд░рдХреНрд╖рд╛ рд▓реЙрдЧ рдЕрдиреБрдорддрд┐рдпрд╛рдБ рдкреНрд░рдмрдВрдзрд┐рдд рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрддреА рд╣реИред

рдпрд╣ рд╕рдореВрд╣ рдпрд╣рд╛рдВ рдХрдВрдкреНрдпреВрдЯрд░ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди \ Windows рд╕реЗрдЯрд┐рдВрдЧреНрд╕ \ рд╕реБрд░рдХреНрд╖рд╛ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ \ рд╕реНрдерд╛рдиреАрдп рдиреАрддрд┐рдпрд╛рдБ \ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЕрдзрд┐рдХрд╛рд░ рдЕрд╕рд╛рдЗрдирдореЗрдВрдЯ рд╕реНрдерд┐рдд рд╣реИ ред



рдЖрдк рдпрд╣рд╛рдВ рдСрдбрд┐рдЯрд┐рдВрдЧ рдФрд░ рд╕рд┐рдХреНрдпреЛрд░рд┐рдЯреА рд▓реЙрдЧ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЕрдзрд┐рдХ рдкрдврд╝ рд╕рдХрддреЗ рд╣реИрдВ ред
рдпрд╣ рдиреАрддрд┐ рд╕реЗрдЯрд┐рдВрдЧ рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрд░рддреА рд╣реИ рдХрд┐ рдХреМрди рд╕реЗ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдлрд╝рд╛рдЗрд▓, рд╕рдХреНрд░рд┐рдп рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдСрдмреНрдЬреЗрдХреНрдЯ рдФрд░ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдХреБрдВрдЬрд┐рдпреЛрдВ рдЬреИрд╕реЗ рд╡реНрдпрдХреНрддрд┐рдЧрдд рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдХреЗ рд▓рд┐рдП рдСрдмреНрдЬреЗрдХреНрдЯ рдПрдХреНрд╕реЗрд╕ рдСрдбрд┐рдЯ рд╡рд┐рдХрд▓реНрдк рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред рдпреЗ рдСрдмреНрдЬреЗрдХреНрдЯ рдЙрдирдХреЗ рд╕рд┐рд╕реНрдЯрдо рдПрдХреНрд╕реЗрд╕ рдХрдВрдЯреНрд░реЛрд▓ рд▓рд┐рд╕реНрдЯ (SACL) рдХреЛ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░рддреЗ рд╣реИрдВред рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЬрд┐рд╕реЗ рдпрд╣ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЕрдзрд┐рдХрд╛рд░ рд╕реМрдВрдкрд╛ рдЧрдпрд╛ рд╣реИ, рд╡рд╣ рдЗрд╡реЗрдВрдЯ рд╡реНрдпреВрдЕрд░ рдореЗрдВ рд╕реБрд░рдХреНрд╖рд╛ рд▓реЙрдЧ рдХреЛ рджреЗрдЦ рдФрд░ рд╕рд╛рдлрд╝ рдХрд░ рд╕рдХрддрд╛ рд╣реИред рдСрдмреНрдЬреЗрдХреНрдЯ рдПрдХреНрд╕реЗрд╕ рдСрдбрд┐рдЯ рдиреАрддрд┐ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА рдХреЗ рд▓рд┐рдП, рдСрдбрд┐рдЯ рдСрдмреНрдЬреЗрдХреНрдЯ рдПрдХреНрд╕реЗрд╕ рджреЗрдЦреЗрдВред

рд╣рдо рдЬрд╛рдВрдЪ рдХрд░рддреЗ рд╣реИрдВ, рд╕рдм рдХреБрдЫ рд╡рд╛рджреЗ рдХреЗ рдЕрдиреБрд╕рд╛рд░ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИ, рд▓реЙрдЧ рд╕рд╛рдл рдХрд┐рдП рдЧрдП рдереЗ ...



рдЕрдзрд┐рдХрд╛рд░реЛрдВ рдХреЛ рд╕рд╛рдл рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХреЛрдИ рдЕрдиреНрдп рд▓реЙрдЬрд┐рдХреНрд╕ рдирд╣реАрдВ рд╣реИрдВред



рдИрдорд╛рдирджрд╛рд░реА рд╕реЗ, рдореИрдВ рдПрдХ рдРрд╕реЗ рдкрд░рд┐рджреГрд╢реНрдп рдХреЗ рд╕рд╛рде рдирд╣реАрдВ рдЖ рд╕рдХрддрд╛ рдЬрд╣рд╛рдБ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЛ рд╕реБрд░рдХреНрд╖рд╛ рд▓реЙрдЧ рдХреЛ рд╕рд╛рдл рдХрд░рдиреЗ рдХрд╛ рдЕрдзрд┐рдХрд╛рд░ рджрд┐рдпрд╛ рдЬрд╛рдирд╛ рдЪрд╛рд╣рд┐рдП, рд▓реЗрдХрд┐рди рдРрд╕рд╛ рдЕрд╡рд╕рд░ рд╣реИред

Get-WinEvent VS Get-EventLog


рдЗрди рджреЛ cmdlets рдХреА рддреБрд▓рдирд╛ рдХрд░рдиреЗ рдХрд╛ рд╕рдордп рдЖ рдЧрдпрд╛ рд╣реИ

Get-рдЗрд╡реЗрдВрдЯрд▓реЙрдЧ
рд╡рд┐рд╡рд░рдг:

Get-EventLog cmdlet рдХреЛ рд╕реНрдерд╛рдиреАрдп рдФрд░ рджреВрд░рд╕реНрде рдХрдВрдкреНрдпреВрдЯрд░ рдкрд░ рдИрд╡реЗрдВрдЯ рдФрд░ рдЗрд╡реЗрдВрдЯ рд▓реЙрдЧ рдорд┐рд▓рддреЗ рд╣реИрдВред

рдЖрдк рдШрдЯрдирд╛рдУрдВ рдХреА рдЦреЛрдЬ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП cmdlet рдХреЗ рдорд╛рдкрджрдВрдбреЛрдВ рдФрд░ рд╕рдВрдкрддреНрддрд┐ рдореВрд▓реНрдпреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред рдЗрд╕ cmdlet рдореЗрдВ рдРрд╕реА рдШрдЯрдирд╛рдПрдБ рдорд┐рд▓рддреА рд╣реИрдВ рдЬреЛ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рд╕рдВрдкрддреНрддрд┐ рдореВрд▓реНрдпреЛрдВ рд╕реЗ рдореЗрд▓ рдЦрд╛рддреА рд╣реИрдВред

рдИрд╡реЗрдВрдЯрд▓реЙрдЧ рд╕рдВрдЬреНрдЮрд╛ рд╡рд╛рд▓реЗ cmdlets рдХреЗрд╡рд▓ рдХреНрд▓рд╛рд╕рд┐рдХ рдИрд╡реЗрдВрдЯ рд▓реЙрдЧ рдкрд░ рдХрд╛рдо рдХрд░рддреЗ рд╣реИрдВред Windows Vista рдФрд░ рдмрд╛рдж рдХреЗ Windows рд╕рдВрд╕реНрдХрд░рдгреЛрдВ рдореЗрдВ Windows рдЗрд╡реЗрдВрдЯ рд▓реЙрдЧ рддрдХрдиреАрдХ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рд╡рд╛рд▓реЗ рд▓реЙрдЧ рд╕реЗ рдЗрд╡реЗрдВрдЯ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, Get-WinEvent рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВред

Get-WinEvent
рд╡рд┐рд╡рд░рдг:

Get-WinEvent cmdlet рдИрд╡реЗрдВрдЯ рд▓реЙрдЧреНрд╕ рд╕реЗ рдЗрд╡реЗрдВрдЯреНрд╕ рдкреНрд░рд╛рдкреНрдд рдХрд░рддрд╛ рд╣реИ, рдЬрд┐рд╕рдореЗрдВ рдХреНрд▓рд╛рд╕рд┐рдХ рд▓реЙрдЧреНрд╕, рдЬреИрд╕реЗ рд╕рд┐рд╕реНрдЯрдо рдФрд░ рдПрдкреНрд▓реАрдХреЗрд╢рди рд▓реЙрдЧреНрд╕ рд╢рд╛рдорд┐рд▓ рд╣реИрдВ, рдФрд░ рд╡рд┐рдВрдбреЛрдЬ рд╡рд┐рд╕реНрдЯрд╛ рдореЗрдВ рдкреЗрд╢ рдХрд┐рдП рдЧрдП рд╡рд┐рдВрдбреЛрдЬ рдЗрд╡реЗрдВрдЯ рд▓реЙрдЧ рдЯреЗрдХреНрдиреЛрд▓реЙрдЬреА рджреНрд╡рд╛рд░рд╛ рдЙрддреНрдкрдиреНрди рдЗрд╡реЗрдВрдЯ рд▓реЙрдЧреНрд╕ред рдпрд╣ рд╡рд┐рдВрдбреЛрдЬ (рдИрдЯреАрдбрдмреНрд▓реНрдпреВ) рдХреЗ рд▓рд┐рдП рдЗрд╡реЗрдВрдЯ рдЯреНрд░реЗрд╕рд┐рдВрдЧ рджреНрд╡рд╛рд░рд╛ рдЙрддреНрдкрдиреНрди рд▓реЙрдЧ рдлрд╛рдЗрд▓реЛрдВ рдореЗрдВ рднреА рдШрдЯрдирд╛рдУрдВ рдХреЛ рдкреНрд░рд╛рдкреНрдд рдХрд░рддрд╛ рд╣реИред

рдорд╛рдкрджрдВрдбреЛрдВ рдХреЗ рдмрд┐рдирд╛, Get-WinEvent рдЖрджреЗрд╢ рдХрдВрдкреНрдпреВрдЯрд░ рдкрд░ рд╕рднреА рдИрд╡реЗрдВрдЯ рд▓реЙрдЧ рд╕реЗ рд╕рднреА рдИрд╡реЗрдВрдЯ рдкреНрд░рд╛рдкреНрдд рдХрд░рддрд╛ рд╣реИред рдХрдорд╛рдВрдб рдХреЛ рдмрд╛рдзрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, CTRL + C рджрдмрд╛рдПрдВред

Get-WinEvent рдИрд╡реЗрдВрдЯ рд▓реЙрдЧ рдФрд░ рдИрд╡реЗрдВрдЯ рд▓реЙрдЧ рдкреНрд░реЛрд╡рд╛рдЗрдбрд░реНрд╕ рдХреЛ рднреА рд╕реВрдЪреАрдмрджреНрдз рдХрд░рддрд╛ рд╣реИред рдЖрдк рдЪрдпрдирд┐рдд рд▓реЙрдЧ рд╕реЗ рдпрд╛ рдЪрдпрдирд┐рдд рдИрд╡реЗрдВрдЯ рдкреНрд░рджрд╛рддрд╛рдУрдВ рджреНрд╡рд╛рд░рд╛ рдЙрддреНрдкрдиреНрди рд▓реЙрдЧ рд╕реЗ рдИрд╡реЗрдВрдЯ рдкреНрд░рд╛рдкреНрдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред рдФрд░, рдЖрдк рдПрдХ рд╣реА рдХрдорд╛рдВрдб рдореЗрдВ рдХрдИ рд╕реНрд░реЛрддреЛрдВ рд╕реЗ рдШрдЯрдирд╛рдУрдВ рдХреЛ рдЬреЛрдбрд╝ рд╕рдХрддреЗ рд╣реИрдВред рдпрд╣ cmdlet рдЖрдкрдХреЛ XPath рдХреНрд╡реЗрд░реАрдЬрд╝, рд╕рдВрд░рдЪрд┐рдд XML рдХреНрд╡реЗрд░реАрдЬрд╝ рдФрд░ рд╕рд░рд▓реАрдХреГрдд рд╣реИрд╢-рдЯреЗрдмрд▓ рдХреНрд╡реЗрд░реАрдЬрд╝ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдШрдЯрдирд╛рдУрдВ рдХреЛ рдлрд╝рд┐рд▓реНрдЯрд░ рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ

рд╡рд┐рд╡рд░рдг рдХреЗ рдЕрдиреБрд╕рд╛рд░, Get-WinEvent рдмрдбрд╝реА рд╕рдВрдЦреНрдпрд╛ рдореЗрдВ рдкрддреНрд░рд┐рдХрд╛рдУрдВ рдХреЗ рд╕рд╛рде рдХрд╛рдо рдХрд░ рд╕рдХрддрд╛ рд╣реИ рдЬреЛ рдХрд┐ WIndows Vista рдореЗрдВ рджрд┐рдЦрд╛рдИ рджрд┐рдПред

рд╕реНрдкрд╖реНрдЯрддрд╛ рдХреЗ рд▓рд┐рдП, рдпреЗ рд╕реВрдЪрд┐рдпрд╛рдБ рдЗрди cmdlets рдХреЗ рд╕рд╛рде рдХрд╛рдо рдХрд░рддреА рд╣реИрдВ ; рдореИрдВрдиреЗ Get-WinEvent рдХреЗ рд▓рд┐рдП рдЖрдЙрдЯрдкреБрдЯ рдмрдВрдж рдХрд░ рджрд┐рдпрд╛ рд╣реИред



рд▓реЗрдХрд┐рди рдПрдХ рдмрд╛рдд рд╣реИ, рдкреНрд░рджрд░реНрд╢рди рдХреЗ рдорд╛рдорд▓реЗ, рдХреНрд╡реЗрд░реА рдирд┐рд╖реНрдкрд╛рджрди рд╕рдордп рдХреА рддреБрд▓рдирд╛ рдХрд░реЗрдВред



Get-WinEvent рдХрд╛ рдЪрд▓рдиреЗ рдХрд╛ рд╕рдордп рдмрд╕ рдЕрджреНрднреБрдд рд╣реИ, Applocation рдФрд░ Security рд▓реЙрдЧ рдореЗрдВ рдкреНрд░рд╡рд┐рд╖реНрдЯрд┐рдпреЛрдВ рдХреА рд╕рдВрдЦреНрдпрд╛ рдкрд░ рдзреНрдпрд╛рди рджреЗрдВ, рдШрдЯрдирд╛рдУрдВ рдХреА рд╕рдВрдЦреНрдпрд╛ рд▓рдЧрднрдЧ 3400-3600 рд╣реИ, рд▓реЗрдХрд┐рди рдирд┐рд╖реНрдкрд╛рджрди рд╕рдордп рдореЗрдВ рдЕрдВрддрд░ рд▓рдЧрднрдЧ 20 рдЧреБрдирд╛ рд╣реИ ...

Get-WinEvent рдПрдкреНрд▓реАрдХреЗрд╢рди рдЗрд╡реЗрдВрдЯреНрд╕ рдкрдврд╝рдиреЗ рдХреЗ рд▓рд┐рдП 127 рд╕реЗрдХрдВрдб рдмрдирд╛рдо 52 рд╕реЗрдХрдВрдб Get-EventLog рдЦрд░реНрдЪ рдХрд░рддрд╛ рд╣реИред

рдФрд░ рдЪреЗрдХрдореЗрдЯ, Get-WinEvent рд╕реБрд░рдХреНрд╖рд╛ рдШрдЯрдирд╛рдУрдВ рдХреЛ рдкрдврд╝рдиреЗ рдХреЗ рд▓рд┐рдП 2020 рд╕реЗрдХрдВрдб рдмрдирд╛рдо 45 рд╕реЗрдХрдВрдб Get-EventLog рдЦрд░реНрдЪ рдХрд░рддрд╛ рд╣реИред

рдпрджрд┐ рдЖрдк рд╕рдорд╛рди рдЖрджреЗрд╢реЛрдВ рдХреЛ рд╕реНрдерд╛рдиреАрдп рд░реВрдк рд╕реЗ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рддреЗ рд╣реИрдВ, рддреЛ рд╕рдм рдХреБрдЫ рдЗрддрдирд╛ рдмреБрд░рд╛ рдирд╣реАрдВ рд▓рдЧрддрд╛ рд╣реИ, рд▓реЗрдХрд┐рди рдпрд╣рд╛рдВ рддрдХ тАЛтАЛрдХрд┐ рд╕реНрдерд╛рдиреАрдп рд░реВрдк рд╕реЗ Get-EventLog , Get-WinEvent рдХреА рддреБрд▓рдирд╛ рдореЗрдВ 50 рдЧреБрдирд╛ рддреЗрдЬреА рд╕реЗ рд╕реБрд░рдХреНрд╖рд╛ рд▓реЙрдЧ рдХреЗ рд╕рд╛рде рдХрд╛рдо рдХрд░рддрд╛ рд╣реИред



рдФрд░ рдПрдХ рдЕрдиреНрдп рдЙрджрд╛рд╣рд░рдг, рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рдереЛрдбрд╝рд╛ рдЕрдзрд┐рдХ рд╕рд╛рд░реНрдердХ, рдХреЛрдб 4624 рдХреЗ рд╕рд╛рде рдИрд╡реЗрдВрдЯ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХрд╛ рдПрдХ рдЦрд╛рддрд╛ рд╕рдлрд▓рддрд╛рдкреВрд░реНрд╡рдХ рд▓реЙрдЧ рдСрди рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ ред



рдореИрдВ рдХреНрдпрд╛ рдХрд╣ рд╕рдХрддрд╛ рд╣реВрдВ, рд╕рдВрдЦреНрдпрд╛ рдЭреВрда рдирд╣реАрдВ рд╣реИ ...

рдбреАрд╕реА рдЗрд╡реЗрдВрдЯ рд▓реЙрдЧ рдХреЗ рд▓рд┐рдП рдЧреИрд░-рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рдкрд╣реБрдБрдЪ


рдФрд░ рдирд┐рд╖реНрдХрд░реНрд╖ рдореЗрдВ, рдореИрдВрдиреЗ рдбреЛрдореЗрди рдирд┐рдпрдВрддреНрд░рдХ рдкрд░ рд╕реБрд░рдХреНрд╖рд╛ рд▓реЙрдЧ рддрдХ рдкрд╣реБрдВрдЪ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХрд╛ рд╡рд┐рд╖рдп рдЫреЛрдбрд╝ рджрд┐рдпрд╛ред

рдЙрдкрд░реЛрдХреНрдд рд╕рднреА рдХреБрдЫ рд╕рдВрд╢реЛрдзрди рдХреЗ рд╕рд╛рде рдбреЛрдореЗрди рдирд┐рдпрдВрддреНрд░рдХ рдХреЗ рд▓рд┐рдП рднреА рдкреНрд░рд╛рд╕рдВрдЧрд┐рдХ рд╣реИред

1 - рдЖрдк рдЕрдВрддрд░реНрдирд┐рд╣рд┐рдд рд╕реБрд░рдХреНрд╖рд╛ рдкреНрд░рд┐рдВрд╕рд┐рдкрд▓ рдСрдмреНрдЬреЗрдХреНрдЯреНрд╕ рдореЗрдВ рдЗрд╡реЗрдВрдЯ рд▓реЙрдЧ рд░реАрдбрд░реНрд╕ рд╕рдореВрд╣ рдкрд╛рдПрдВрдЧреЗред



рдЗрд╕ рд╕рдореВрд╣ рдореЗрдВ рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЬреЛрдбрд╝рдХрд░ рдЖрдк рдХреЗрд╡рд▓ рдбреЛрдореЗрди рдирд┐рдпрдВрддреНрд░рдХреЛрдВ рдХреЛ рдкрдврд╝рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддреЗ рд╣реИрдВред

рдФрд░ рдпрд╣ рдордд рднреВрд▓реЛ рдХрд┐ рдкреНрд░рддреНрдпреЗрдХ рдбреЛрдореЗрди рдирд┐рдпрдВрддреНрд░рдХ рдкрд░ рдЖрдкрдХреЛ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рд╢рд╛рдЦрд╛ MACHINE \ System \ CurrentControlSet \ Services \ Eventlog \ Security рдХреЛ рдкрдврд╝рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрдиреА рд╣реЛрдЧреАред

рдпрд╣рд╛рдВ рдПрдХ рдЙрджрд╛рд╣рд░рдг рд╣реИ, рдПрдХ рд╕рджрд╕реНрдп рд╕рд░реНрд╡рд░ рдХреЗ рд▓реЙрдЧ рдХреЛ рдкрдврд╝рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рдирд╣реАрдВ рд╣реИ, рдпрджрд┐ рдЖрдкрдХреЛ рдбреЛрдореЗрди рдореЗрдВ рдЕрдиреНрдп рдорд╢реАрдиреЛрдВ рд╕реЗ рд▓реЙрдЧ рдкрдврд╝рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ, рддреЛ рд╕реНрдерд╛рдиреАрдп рдИрд╡реЗрдВрдЯ рд▓реЙрдЧ рд░реАрдбрд░ рд╕рдореВрд╣ рдореЗрдВ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдпрд╛ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рд╕рдореВрд╣реЛрдВ рдХреЛ рдЬреЛрдбрд╝рдиреЗ рдХреЗ рд▓рд┐рдП рд╕рдореВрд╣ рдиреАрддрд┐рдпреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВред



2 - рд▓реЙрдЧ рд╕рд╛рдлрд╝ рдХрд░рдиреЗ рдХреЗ рдЕрдзрд┐рдХрд╛рд░ рдЬреЛрдбрд╝рдиреЗ рдХреЗ рд▓рд┐рдП, рдЖрдкрдХреЛ рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдбреЛрдореЗрди рдирд┐рдпрдВрддреНрд░рдХ рдиреАрддрд┐ рдХреЛ рд╕рдВрдкрд╛рджрд┐рдд рдХрд░рдирд╛ рд╣реЛрдЧрд╛ред

3 - рдбреЛрдореЗрди рдирд┐рдпрдВрддреНрд░рдХ рдкрд░ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреА рдУрд░ рд╕реЗ рдХрд╛рд░реНрдпреЛрдВ рдХреЗ рд╢реБрднрд╛рд░рдВрдн рдХреА рдЕрдиреБрдорддрд┐ рджреЗрдиреЗ рдХреЗ рд▓рд┐рдП, рдЖрдкрдХреЛ рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдбреЛрдореЗрди рдирд┐рдпрдВрддреНрд░рдХ рдиреАрддрд┐ рдХреЛ рднреА рд╕рдВрдкрд╛рджрд┐рдд рдХрд░рдирд╛ рд╣реЛрдЧрд╛ рдФрд░ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЛ рдмреИрдЪ рдХрд╛рд░реНрдп рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреЗ рд░реВрдк рдореЗрдВ рд▓реЙрдЧ рдСрди рдХрд░рдирд╛ рд╣реЛрдЧрд╛ ред

4 - рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдбреЛрдореЗрди рдиреАрддрд┐рдпреЛрдВ рдХрд╛ рд╕рдВрдкрд╛рджрди рдХрд░рддреЗ рд╕рдордп рдмрд╣реБрдд рд╕рд╛рд╡рдзрд╛рди рд░рд╣реЗрдВ!

рдкреБрдирд╢реНрдЪ

рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдХреА рдПрдХ рдЫреЛрдЯреА рд╕реВрдЪреА рдЬрд┐рд╕рдиреЗ рдореЗрд░реА рдорджрдж рдХреА:


рдореЗрд░реА рд░рд╛рдп рдореЗрдВ, рд╣реИрдмрд░ рдкрд░ рдЙрдкрдпреЛрдЧреА рдкреНрд░рдХрд╛рд╢рди, рдЬрд┐рдирдХреЗ рд╡рд┐рд╖рдп рд╡рд┐рдВрдбреЛрдЬ рд▓реЙрдЧ рд╕реЗ рд╕рдВрдмрдВрдзрд┐рдд рд╣реИрдВ:


рдЕрдВрдд

Source: https://habr.com/ru/post/hi443386/

More articles:


All Articles