%20simultaneamente%3F.png)
Um dos amigos dos meus clientes sofreu um ataque de hack esta manhã devido a uma configuração insegura da Área de Trabalho Remota e me pediram para dar uma olhada. (Todos os seus arquivos comerciais foram criptografados pela cepa do primeiro trimestre de 2018 do ransomware Dharma).
Felizmente, os logs de eventos do Windows não foram adulterados e depois de analisar cada log individualmente (aplicativo, segurança, sistema, etc.), consegui montar uma linha do tempo do ataque: indicando quando e como o invasor se conectou à máquina, instalou seu malware, vi os serviços do Windows sendo interrompidos ou travados e então eles foram desconectados.
No Windows XP e versões anteriores, havia apenas os logs de aplicativos, sistema e segurança, mas desde o Windows Vista, há logs específicos de aplicativos localizados no nó de visualização em árvore "Logs de aplicativos e serviços" e, a cada nova versão do Windows, há há cada vez mais novos logs para examinar - infelizmente você tem que analisá-los manualmente: não parece haver nenhuma maneira de selecionar dados de todos esses logs e depois aplicar um filtro de intervalo de data/hora ou fazer um texto procurar.
...ou existe?
(Eu sei que você pode criar uma visualização de log personalizada no Visualizador de Eventos, mas não é fácil adicionar outro log à pesquisa e é muito lento. Na verdade, toda a interface do Visualizador de Eventos é dolorosamente lenta, lenta e estranha desde seu redesenho em Windows Vista). Ele ainda aconselha você a criar uma visualização que faça referência a mais de 10 logs:
O filtro ou visualização personalizada que você está criando faz referência a mais de 10 logs de eventos. O resultado pode ter um desempenho insatisfatório e consumir uma grande quantidade de memória ou tempo de processador. Você quer continuar?
Na verdade, quando criei uma visualização agora há pouco que fazia referência a todos os logs do meu computador, isso fez com que o Visualizador de eventos travasse e congelasse e, eventualmente, exibisse zero itens - então acho que isso está completamente quebrado.
Existe um comando do PowerShell que eu poderia executar para despejar todos os eventos de todos os logs entre dois carimbos de data/hora?
Responder1
Você pode usarlinha do tempo log2para exportar e analisar os logs do seu ambiente Windows. Com isso, você poderá pesquisar e editar algumas timelines de eventos interessantes.
Por estelinkvocê encontrará outras ferramentas para trabalhar em seus arquivos de log.
Responder2
Há um limite de 256 nomes de log na API do Windows. Selecione 256 logs por vez ou faça algo assim no PowerShell como administrador:
get-winevent -listlog * | foreach-object { get-winevent -logname $_.logname }
get-winevent -listlog * | foreach { get-winevent @{logname = $_.logname;
starttime = '2/29' } -ea 0 } | where message -match 'whatever you want'