PowerShell Експорт журналів подій віддаленого ПК на локальний ПК.
1. Відкрийте Powershell ISE за допомогою облікового запису, який має доступ локального адміністратора до віддалених ПК.
ПРИМІТКА: Ви також повинні мати Інструменти Sysinternals встановлений і можна дзвонити psloglist із попереднім посиланням на попередньо визначений шлях:
Set-Alias psloglist c:\windowssystem32psloglist.exe
2. Виклики функцій для дистанційного керування Журнали системних подій;
Замініть REMOTE-PCNAME з NetBIOS ім’я комп’ютера, до якого ви бажаєте підключитися та отримати журнали. The “запустити блокнот” тоді команда повинна відкрити файл журналу на вашому ПК для перегляду. Також, ви можете змінити останній рядок або навіть видалити його, якщо ви використовуєте інший інструмент для журналів. (як приклад Cmtrace або Блокнот++)
function GetSysEventLogs
{
$currDate = get-date -format MMddyyyy
$getDayDuration = Read-Host "Please enter the number of days of logs to extract"
psloglist \\REMOTE-PCNAME -d $getDayDuration -s system > c:\logs\REMOTE-PCNAME-sysevtlogs-$currDate.txt
Write-Host "Event logs saved to c:\logs\REMOTE-PCNAME-sysevtlogs-$currDate.txt"
start notepad c:\logs\REMOTE-PCNAME-sysevtlogs-$currDate.txt
}
3. Виклики функцій для дистанційного керування Журнали подій програми;
function GetAppEventLogs
{
$currDate = get-date -format MMddyyyy
$getDayDuration = Read-Host "Please enter the number of days of logs to extract"
psloglist \\REMOTE-PCNAME -d $getDayDuration -s application > c:\logs\REMOTE-PCNAME-appevtlogs-$currDate.txt
Write-Host "Event logs saved to c:\logs\REMOTE-PCNAME-appevtlogs-$currDate.txt"
start notepad c:\logs\REMOTE-PCNAME-appevtlogs-$currDate.txt
}
4. Виклики функцій для дистанційного керування Журнали подій безпеки;
function GetSecEventLogs
{
$currDate = get-date -format MMddyyyy
$getDayDuration = Read-Host "Please enter the number of days of logs to extract"
psloglist \\REMOTE-PCNAME -d $getDayDuration -s security > c:\logs\REMOTE-PCNAME-secevtlogs-$currDate.txt
Write-Host "Event logs saved to c:\logs\REMOTE-PCNAME-secevtlogs-$currDate.txt"
start notepad c:\logs\REMOTE-PCNAME-secevtlogs-$currDate.txt
}
Кроки, які виконує цей сценарій:
1) Підкажіть, скільки днів журналів ви хочете витягти
2) Підключіться до віддаленої машини
3) Експортуйте певний журнал до a *.TXT файл
4) Скопіюйте журнал назад на свій комп’ютер у c:\журнали
5) Відкрийте файл у Блокноті