МУ_ЛР_БОС. А. С. Новиковым и обсуждены на заседании кафедры
PowerShell 2._Теоретические_сведения'>1. Цель работы2. Теоретические сведения PowerShell основанные на .NET, для работы с журналами событий. Начнем с самого простого командлета - Get-EventLog . Он позволяет получать данные и информацию о журналах событий.# смотрим список имеющихся журналов Get-EventLog –List # полученный список можно форматировать (сотмительное удовольствие) Get-EventLog -List | Format-List * # или получить сведения по определенному журналу Get-EventLog -List | Where-Object { $_ .Log -eq "Application" } | FL Поиск событий Get-EventLog -Newest 1 -LogName application | Get-Member # Взять 10 последних записей из журнала Application имеющих тип Error Get-EventLog -Newest 10 -LogName application | Where-Object { $_ .EntryType -eq "Error" } # Взять 100 последних записей из журнала Security с ID 529 Get-EventLog -Newest 100 -LogName security | Where-Object { $_ .EventID -eq "529" } | FL # Взять 100 последних записей из журнала Security только за сегодня Get-EventLog -Newest 100 -LogName security | Where-Object { $_ .TimeGenerated.Date -eq ( Get-Date ) .Date } | FL # Найти 100 записей из журнала Security за последние 7 дней с кодом 529 Get-EventLog -Newest 100 -LogName security | Where-Object {{ $_ .TimeGenerated.Date -eq ( Get-Date ) .AddDays ( - 7 )} -and { $_ .EventID -eq "529" }} Просмотр событий на локальном компьютере Get-EventLog с ключом -LogName и указанием имени нужного журнала.# доступный список журналов получаем с помощью Get-EventLog –List # для получения последних десяти событий вводим Get-EventLog -LogName application -Newest 10 # для запроса только ошибок вводим Get-EventLog -LogName application -Newest 100 - EntryType Error # для получения информации от определенного источника необходимо ввести Get-EventLog -LogName application -Newest 100 - source outlook Просмотр событий на удаленном компьютере Get-EventLog , синтаксис запросов прежний, требуется только указание параметра -ComputerName .Get - EventLog - ComputerName REMOTE _ HOST - List Win32_NTEventlogFile $Logs = Get - WMIOject -Class Win32_NTEventLogFile - Computer REMOTE_HOST $Logs | FL Создание собственных журналов New - Eventlog -logname ‘PsScripts’ - Source ‘Logonscript’ Создание записей в журнале Write-EventLog. write - eventlog -logname ‘PsScripts’ - Source ‘Logonscript’ -Message ‘Something bad happened’ -id 111 write - eventlog -logname ‘PsScripts’ - Source ‘Logonscript’ - eventID 112 - entrytype Information -message "PsApp added a user-requested feature to the display." -category 1 - rawdata 10 , 20 Очистка журналов Clear-Eventlog -LogName Clear - Eventlog -LogName "Application" Удаление журналов Remove - Eventlog -logname ‘PsScripts’ Экспорт данных Get-EventLog -LogName system -newest 100 | Export-Csv -NoTypeInformation D:\Report\1.csv Get-EventLog -LogName system -newest 100 | Out -File D:\Report\1.csv Примеры # наша цель – журнал Application $log = gwmi "Win32_NTEventLogFile WHERE LogFileName=’Application’" # сохраним его в файл $log .BackupEventlog ( "D:\Backup\Application-backup.evt" ) # второй вариант того же действия # тот же журнал Application $logName = "Application" # куда сохранять результат $path = "D:\Backup\" # сформируем имя файла $exportFile = $logName + ( get-date -f yyyyMMdd ) + ".evt" # запрашиваем данные $logFile = Get-WmiObject Win32_NTEventlogFile | Where-Object { $_ .logfilename -eq $logName } # сохраняем в файл $logFile .backupeventlog ( $path + $exportFile ) # остается только назначить задание в планировщике и дописать процедуру очистки журнала. Get-WinEvent который получает события из журналов и файлов журналов отслеживания событий (файлы созданные средством отслеживания событий для Windows (ETW)), как на локальном компьютере так и на удаленном.Примечание. Командлет Get-WinEvent работает только в Windows Vista, Windows Server 2008 R2 и последующих версиях Windows. Для работы потребуется установленный Microsoft .NET Framework 3.5 или более поздней версии. Get - WinEvent Get - WinEvent - ListLog * | ft - a поэтому немного видоизменяем запрос Get - WinEvent - ListLog * | Where { $_ .recordcount } Get - WinEvent - listlog * | Where { $_ .IsClassicLog -eq ‘True’ } $events = Get - WinEvent -logname "Windows PowerShell" $ events . count Примечание: Поставщик журнала событий — это программа или служба, которая записывает события в журнал событий. Get - WinEvent - ListProvider * Get - WinEvent - ListProvider * update * Get - WinEvent - ListProvider * policy * $provider = Get - WinEvent - ListProvider Microsoft - Windows - WindowsUpdateClient $provider .events | ? { $_ .description -match "success" } | select id , description | ft -AutoSize ( get - winevent - listprovider microsoft - windows - grouppolicy ) .events | format-table id , description - auto Фильтрация событий Get - WinEvent -logName Application - maxEvents 100 | Where-Object { $_ .Level -eq 2 } | Format-Table DisplayName , id , ProviderName - auto # используем FilterHashTable $yesterday = ( get-date ) - ( new-timespan -day 1 ) get - winevent - FilterHashTable @ { LogName = ‘Security’ ; ID = "4624" ; StartTime = $yesterday } | ft TimeCreated , ID , Message # Используем FilterXML get - winevent - FilterXML "< QueryList > < Query Id=’0′ Path=’Security’ > < Select Path=’Security’ >*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 86400000]]] < / Query > < / QueryList >" # используем FilterXPath Get - WinEvent -LogName Security - FilterXPath "* [ System [ (EventID=4624) and TimeCreated[timediff(@SystemTime) <= 86400000 ] ] ]" Получение данных из файла Get - WinEvent -Path ‘c:\ps-test\Test-Log.evtx’ Экспорт данных Get - WinEvent -LogName Application - MaxEvents 100 | select ID , Message | Export-Csv c:\temp\Applog2.csv -ComputerName -Credential для указания необходимых учетных данных.# Получаем список журналов имеющих записи. Get - WinEvent - listlog * -ComputerName SRV01 | where { $_ .recordcount } # тоже самое только с указанием необходимых креденшелов Get - WinEvent - listlog * -ComputerName SRV01 -Credential ( Get-Credential ) | where { $_ .recordcount } Get-EventLog $list = "SRV01" , "SRV02" , "SRV03" foreach ( $server in $list ) { $server ; Get - WinEvent - ListLog "Windows PowerShell" -ComputerName $server | Export-Csv c:\temp\ $server - log2.csv } 3. Оборудование MS Windows 2000 SP4 , XP SP 2, Vista или 7 .4. Задание на работу выполнить последовательность действий , описанных в теоретических положениях данной лабораторной работы:5. Оформление отчета 6 Контрольные вопросы 7. Библиографический список
Скачать 1.1 Mb.