%20gleichzeitig%20anzuzeigen%3F.png)
Einer der Freunde meiner Klienten wurde heute Morgen aufgrund einer unsicheren Remotedesktopkonfiguration Opfer eines Hackerangriffs und ich wurde gebeten, mir das einmal anzusehen. (Alle ihre Geschäftsdateien wurden mit der 2018-Q1-Variante der Dharma-Ransomware verschlüsselt.)
Glücklicherweise waren die Windows-Ereignisprotokolle nicht manipuliert und nachdem ich mir jedes Protokoll einzeln angesehen hatte (Anwendung, Sicherheit, System usw.), konnte ich eine Chronologie des Angriffs rekonstruieren. Sie zeigt, wann und wie der Angreifer eine Verbindung zum Computer hergestellt und seine Malware installiert hat. Außerdem sah ich, wie Windows-Dienste angehalten wurden oder abstürzten und dann die Verbindung getrennt wurde.
Unter Windows XP und früheren Versionen konnten nur die Anwendungs-, System- und Sicherheitsprotokolle durchgesehen werden. Seit Windows Vista gibt es jedoch anwendungsspezifische Protokolle unter dem Strukturansichtsknoten „Anwendungs- und Dienstprotokolle“, und mit jeder neuen Windows-Version müssen mehr und mehr neue Protokolle untersucht werden. Leider muss man diese manuell durchgehen: Es scheint keine Möglichkeit zu geben, Daten aus all diesen Protokollen auszuwählen und dann einen Datums-/Zeitbereichsfilter anzuwenden oder eine Textsuche durchzuführen.
...oder gibt es das?
(Ich weiß, dass Sie in der Ereignisanzeige eine benutzerdefinierte Protokollansicht erstellen können, aber es ist nicht einfach, der Suche ein weiteres Protokoll hinzuzufügen, und es ist sehr langsam. Tatsächlich ist die gesamte Benutzeroberfläche der Ereignisanzeige seit ihrer Neugestaltung in Windows Vista quälend langsam, verzögert und umständlich.) Es wird Ihnen sogar davon abgeraten, eine Ansicht zu erstellen, die auf mehr als 10 Protokolle verweist:
Der Filter oder die benutzerdefinierte Ansicht, die Sie erstellen, verweist auf mehr als 10 Ereignisprotokolle. Das Ergebnis weist möglicherweise eine schlechte Leistung auf und verbraucht viel Speicher oder Prozessorzeit. Möchten Sie fortfahren?
Tatsächlich führte die Erstellung einer Ansicht, die auf alle Protokolle auf meinem Computer verwies, gerade dazu, dass die Ereignisanzeige blockierte und einfror und schließlich gar keine Elemente mehr anzeigte. Ich schätze also, dass sie einfach komplett kaputt ist.
Gibt es einen PowerShell-Befehl, mit dem ich alle Ereignisse aus allen Protokollen zwischen zwei angegebenen Zeitstempeln sichern kann?
Antwort1
Sie könnenlog2timelineum die Protokolle Ihrer Windows-Umgebung zu exportieren und zu analysieren. Damit können Sie einige Zeitleisten interessanter Ereignisse durchsuchen und bearbeiten.
DadurchVerknüpfungSie finden andere Tools zum Arbeiten an Ihren Protokolldateien.
Antwort2
In der Windows-API gibt es eine Beschränkung auf 256 Protokollnamen. Wählen Sie entweder 256 Protokolle gleichzeitig aus oder führen Sie als Administrator Folgendes in Powershell aus:
get-winevent -listlog * | foreach-object { get-winevent -logname $_.logname }
get-winevent -listlog * | foreach { get-winevent @{logname = $_.logname;
starttime = '2/29' } -ea 0 } | where message -match 'whatever you want'