%20%D0%BE%D0%B4%D0%BD%D0%BE%D0%B2%D1%80%D0%B5%D0%BC%D0%B5%D0%BD%D0%BD%D0%BE%3F.png)
Сегодня утром один из друзей моего клиента подвергся хакерской атаке из-за небезопасной конфигурации удаленного рабочего стола, и меня попросили взглянуть. (Все их деловые файлы были зашифрованы штаммом вируса-вымогателя Dharma первого квартала 2018 года).
К счастью, журналы событий Windows не были изменены, и, просмотрев каждый журнал по отдельности (Приложение, Безопасность, Система и т. д.), я смог восстановить хронологию атаки: указав, когда и как злоумышленник подключился к машине, установил вредоносное ПО, увидел, как службы Windows были остановлены или вышли из строя, а затем они отключились.
В Windows XP и более ранних версиях можно было просматривать только журналы приложений, системы и безопасности, но начиная с Windows Vista в узле дерева «Журналы приложений и служб» есть журналы, специфичные для приложений, и с каждым новым выпуском Windows появляется все больше новых журналов для изучения. К сожалению, вам придется просматривать их вручную: похоже, нет никакого способа выбрать данные из всех этих журналов, а затем применить фильтр по дате/времени или выполнить текстовый поиск.
...или есть?
(Я знаю, что вы можете создать пользовательское представление журнала в Event Viewer, но добавить еще один журнал в поиск непросто, и это очень медленно, на самом деле весь пользовательский интерфейс Event Viewer стал мучительно медленным, лагающим и неудобным с момента его редизайна в Windows Vista). Он даже советует вам не создавать представление, которое ссылается более чем на 10 журналов:
Фильтр или пользовательское представление, которые вы создаете, ссылаются более чем на 10 журналов событий. Результат может работать плохо и потреблять большой объем памяти или процессорного времени. Хотите продолжить?
На самом деле, когда я только что создал представление, ссылающееся на каждый журнал на моем компьютере, это привело к блокировке и зависанию Event Viewer, а затем в конечном итоге к отображению нулевых элементов. Так что, полагаю, это просто полностью сломано.
Есть ли команда PowerShell, которую я могу запустить, чтобы вывести все события из всех журналов между двумя указанными временными метками?
решение1
Вы можете использоватьlog2timelineдля экспорта и анализа журналов вашей среды Windows. С этим вы сможете искать и редактировать некоторые временные шкалы интересных событий.
Этимсвязьвы найдете другие инструменты для работы с вашими файлами журналов.
решение2
В API Windows есть ограничение на 256 имен журналов. Либо выберите 256 журналов за раз, либо сделайте что-то вроде этого в PowerShell от имени администратора:
get-winevent -listlog * | foreach-object { get-winevent -logname $_.logname }
get-winevent -listlog * | foreach { get-winevent @{logname = $_.logname;
starttime = '2/29' } -ea 0 } | where message -match 'whatever you want'