Windows

通過 Powershell 查看網際網路訪問日誌

  • March 7, 2018

我剛剛開始使用 Windows 事件查看器查看日誌。我不確定在哪裡可以找到與以下活動相關的日誌:

(New-Object System.Net.WebClient).DownloadFile("http://www.somesite.com/file.txt", "file.txt")

事件查看器是否甚至記錄此類事件?它是否記錄了成功和失敗?我查看了應用程序、安全性、設置和系統日誌,但在那裡找不到任何東西。我什至檢查了事件查看器的 Powershell 部分,但同樣,它什麼也沒返回。

您顯示的命令與PowerShell相關。但是,PowerShell 日誌記錄:

  • 預設情況下未啟動
  • 至少需要安裝 PowerShell 4.0 或 5.0
  • 需要手動或通過 GPO 開啟 PowerShell 審計功能(見下圖):

審核設置功能

在啟動審計功能之前,請確保了解 3 種不同的日誌記錄現有功能(詳情見下表):

  • 模組日誌記錄
  • 腳本塊日誌記錄
  • 轉錄

日誌記錄功能容量

啟動日誌記錄後,您將在Microsoft-Windows-PowerShell/Operational event logs 文件夾中找到相關日誌。

還可以在下面找到記錄期間產生的不同事件 ID 的列表: 事件 ID 列表

因此,簡要回答您的問題:

  1. 從 FireEye 閱讀這個非常好的文件(來源
  2. 確保您的系統合規
  3. 如有必要,升級到 PowerShell 4 或 5
  4. 手動或通過 GPO 啟用日誌記錄
  5. 查看日誌並蒐索正確的事件

引用自:https://serverfault.com/questions/900372