Windows
通過 Powershell 查看網際網路訪問日誌
我剛剛開始使用 Windows 事件查看器查看日誌。我不確定在哪裡可以找到與以下活動相關的日誌:
(New-Object System.Net.WebClient).DownloadFile("http://www.somesite.com/file.txt", "file.txt")
事件查看器是否甚至記錄此類事件?它是否記錄了成功和失敗?我查看了應用程序、安全性、設置和系統日誌,但在那裡找不到任何東西。我什至檢查了事件查看器的 Powershell 部分,但同樣,它什麼也沒返回。
您顯示的命令與PowerShell相關。但是,PowerShell 日誌記錄:
- 預設情況下未啟動
- 至少需要安裝 PowerShell 4.0 或 5.0
- 需要手動或通過 GPO 開啟 PowerShell 審計功能(見下圖):
在啟動審計功能之前,請確保了解 3 種不同的日誌記錄現有功能(詳情見下表):
- 模組日誌記錄
- 腳本塊日誌記錄
- 轉錄
啟動日誌記錄後,您將在Microsoft-Windows-PowerShell/Operational event logs 文件夾中找到相關日誌。
因此,簡要回答您的問題:
- 從 FireEye 閱讀這個非常好的文件(來源)
- 確保您的系統合規
- 如有必要,升級到 PowerShell 4 或 5
- 手動或通過 GPO 啟用日誌記錄
- 查看日誌並蒐索正確的事件