Powershell – пример анализа событий аудита


 

 

Задача: найти все события аудита удаления файлов

 

Решение:

 

1.  Открываем Event Viewer

2.  Выбираем Security Log

3.  На панели Action нажимаем Filter Current Log

4.  Создаем фильтр:

clip_image001

5.  Переходим на закладку XML и копируем с нее текст фильтра:

 

clip_image002

6.  Вставляем фильтр в скрипт.

7.  Пример скрипта:

 

$filter =

<QueryList>

  <Query Id=»0″ Path=»Security»>

    <Select Path=»Security»>*[System[Provider[@Name=’Microsoft-Windows-Audit’] and (band(Keywords,13510798882111488)) and (EventID=4660)]]</Select>

  </Query>

</QueryList>

«@

 

$events = Get-WinEvent -FilterXml $filter

 

# Process events as needed

 

Дальше с событиями можно делать, что угодно. Например, можно извлечь информацию, кто удалил файл, но это уже другая история.

 

Полезные ссылки:

Description of security events in Windows Vista and in Windows Server 2008

Security Event Descriptions (XP/2003)

Tracking a Remote File Deletion Back to the Source

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: