通過 Powershell 查看網際網路訪問日誌

我剛剛開始使用 Windows 事件查看器查看日誌。我不確定在哪裡可以找到與以下活動相關的日誌：

(New-Object System.Net.WebClient).DownloadFile("http://www.somesite.com/file.txt", "file.txt")

事件查看器是否甚至記錄此類事件？它是否記錄了成功和失敗？我查看了應用程序、安全性、設置和系統日誌，但在那裡找不到任何東西。我什至檢查了事件查看器的 Powershell 部分，但同樣，它什麼也沒返回。

您顯示的命令與PowerShell相關。但是，PowerShell 日誌記錄：

• 預設情況下未啟動
• 至少需要安裝 PowerShell 4.0 或 5.0
• 需要手動或通過 GPO 開啟 PowerShell 審計功能（見下圖）：

在啟動審計功能之前，請確保了解 3 種不同的日誌記錄現有功能（詳情見下表）：

• 模組日誌記錄
• 腳本塊日誌記錄
• 轉錄

啟動日誌記錄後，您將在Microsoft-Windows-PowerShell/Operational event logs 文件夾中找到相關日誌。

還可以在下面找到記錄期間產生的不同事件 ID 的列表：

因此，簡要回答您的問題：

1. 從 FireEye 閱讀這個非常好的文件（來源）
2. 確保您的系統合規
3. 如有必要，升級到 PowerShell 4 或 5
4. 手動或通過 GPO 啟用日誌記錄
5. 查看日誌並蒐索正確的事件

引用自：https://serverfault.com/questions/900372