%20simult%C3%A1neamente%3F.png)
Uno de los amigos de mis clientes sufrió un ataque informático esta mañana debido a una configuración insegura del Escritorio remoto y me pidieron que echara un vistazo. (Todos sus archivos comerciales fueron cifrados por la cepa del ransomware Dharma del primer trimestre de 2018).
Afortunadamente, los registros de eventos de Windows no fueron alterados y después de mirar cada registro individualmente (Aplicación, Seguridad, Sistema, etc.) pude armar una línea de tiempo del ataque: indicando cuándo y cómo el atacante se conectó a la máquina, instaló su malware, vi que los servicios de Windows se detenían o fallaban y luego se desconectaban.
En Windows XP y versiones anteriores, solo había que revisar los registros de aplicaciones, sistemas y seguridad, pero desde Windows Vista hay registros específicos de aplicaciones ubicados en el nodo de vista de árbol "Registros de aplicaciones y servicios", y con cada nueva versión de Windows hay Hay cada vez más registros nuevos para examinar; desafortunadamente, debe revisarlos manualmente: no parece haber ningún tipo de forma de seleccionar datos de todos esos registros y luego aplicar un filtro de rango de fecha/hora o hacer un texto. buscar.
...o hay?
(Sé que puede crear una vista de registro personalizada en el Visor de eventos, pero no es fácil agregar otro registro a la búsqueda y es muy lento; de hecho, toda la interfaz de usuario del Visor de eventos es tremendamente lenta, lenta e incómoda desde su rediseño en Windows Vista). Incluso le aconseja que no cree una vista que haga referencia a más de 10 registros:
El filtro o la vista personalizada que está creando hace referencia a más de 10 registros de eventos. El resultado podría tener un rendimiento deficiente y consumir una gran cantidad de memoria o tiempo de procesador. ¿Quieres continuar?
De hecho, cuando creé una vista hace un momento que hacía referencia a cada registro en mi computadora, provocó que el Visor de eventos se bloqueara y congelara y finalmente mostrara cero elementos, así que supongo que eso está completamente roto.
¿Existe algún comando de PowerShell que pueda ejecutar para volcar todos los eventos de todos los registros entre dos marcas de tiempo?
Respuesta1
Puedes usarlínea de tiempo log2para exportar y analizar los registros de su entorno de Windows. Con eso, podrás buscar y editar algunas líneas de tiempo de eventos interesantes.
Por estoenlaceEncontrará otras herramientas para trabajar en sus archivos de registros.
Respuesta2
Hay un límite de 256 nombres de registro en la API de Windows. Seleccione 256 registros a la vez o haga algo como esto en PowerShell como administrador:
get-winevent -listlog * | foreach-object { get-winevent -logname $_.logname }
get-winevent -listlog * | foreach { get-winevent @{logname = $_.logname;
starttime = '2/29' } -ea 0 } | where message -match 'whatever you want'