PowerShell Eksporter eksterne PC-hendelseslogger til lokal PC.
1. Åpne Powershell ISE med en konto som har lokal administratortilgang til eksterne PC-er.
MERK: Du må også ha Sysinternals verktøy installert og kunne ringe pslogliste med en forhåndsreferanse til dens forhåndsdefinerte bane:
Set-alias psloglist c:\windowssystem32psloglist.exe
2. Funksjonen krever fjernkontroll Systemhendelseslogger;
Bytt ut REMOTE-PCNAME med NetBIOS navnet på PC-en du vil koble til og trekke ut loggene fra. De “start notisblokk” kommandoen skal deretter åpne loggfilen på PC-en din for å se gjennom. Også, du kan endre den siste strengen eller til og med slette den hvis du bruker et annet verktøy for logger. (som et eksempel Cmtrace eller Notisblokk++)
function GetSysEventLogs
{
$currDate = get-date -format MMddyyyy
$getDayDuration = Read-Host "Please enter the number of days of logs to extract"
psloglist \\REMOTE-PCNAME -d $getDayDuration -s system > c:\logs\REMOTE-PCNAME-sysevtlogs-$currDate.txt
Write-Host "Event logs saved to c:\logs\REMOTE-PCNAME-sysevtlogs-$currDate.txt"
start notepad c:\logs\REMOTE-PCNAME-sysevtlogs-$currDate.txt
}
3. Funksjonen krever fjernkontroll Applikasjonshendelseslogger;
function GetAppEventLogs
{
$currDate = get-date -format MMddyyyy
$getDayDuration = Read-Host "Please enter the number of days of logs to extract"
psloglist \\REMOTE-PCNAME -d $getDayDuration -s application > c:\logs\REMOTE-PCNAME-appevtlogs-$currDate.txt
Write-Host "Event logs saved to c:\logs\REMOTE-PCNAME-appevtlogs-$currDate.txt"
start notepad c:\logs\REMOTE-PCNAME-appevtlogs-$currDate.txt
}
4. Funksjonen krever fjernkontroll Sikkerhetshendelseslogger;
function GetSecEventLogs
{
$currDate = get-date -format MMddyyyy
$getDayDuration = Read-Host "Please enter the number of days of logs to extract"
psloglist \\REMOTE-PCNAME -d $getDayDuration -s security > c:\logs\REMOTE-PCNAME-secevtlogs-$currDate.txt
Write-Host "Event logs saved to c:\logs\REMOTE-PCNAME-secevtlogs-$currDate.txt"
start notepad c:\logs\REMOTE-PCNAME-secevtlogs-$currDate.txt
}
Trinn som dette skriptet gjør:
1) Spør deg om hvor mange dager med logger du vil trekke ut
2) Koble til den eksterne maskinen
3) Eksporter den spesifikke loggen til en *.tekst fil
4) Kopier loggen tilbake til datamaskinen din til c:\tømmerstokker
5) Åpne filen i Notisblokk