Этот пост о новом инструменте sysmon от Sysinternals/Microsoft и журнале событий, относящемся к psloglist.exe, также от Sysinternals/Microsoft

Я хотел бы запросить журнал событий Windows sysmon:«Журналы приложений и служб /Microsoft /Windows /Sysmon /Operational» с PSLoglist.

На моем компьютере с Windows 7 я вижу (psloglist -z):

Event logs available on <computername>:
    ActivationClientLibrary
    Application
    Cisco AnyConnect Secure Mobility Client
    Dell
    HardwareEvents
    Internet Explorer
    Key Management Service
    Media Center
    ODiag
    OSession
    Security
    Symantec Enterprise Vault
    Symantec Enterprise Vault Converters
    System
    Windows PowerShell

Согласно psloglist, это журналы событий, «зарегистрированные» на моем компьютере. Sysmon/Operational (пока) не включен в этот список. Из-за этого psloglist не может получить доступ к этому журналу.

Вопрос: Как мне зарегистрировать этот журнал, чтобы psloglist мог получить доступ к его содержимому?

Спасибо -

обкрадывать

|источник

1 ответ1

1

Следующее не является ответом, но это мой временный обходной путь ...

В окне просмотра событий в системном журнале sysmon\ щелкните правой кнопкой мыши, выберите «сохранить все события как ...» и сохраните как файл evtx ... например, sysmon.evtx

Я обрабатываю через psloglist -d 999 -r -s -t \t -x -l sysmon.evtx sys> sysmon.txt

Это не то, что я предпочитаю, но сейчас это полезно.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .