Event Log
Prohlížeč událostí je součást operačního systému Windows od doby NT, která umožňuje správcům a uživatelům prohlížet protokoly událostí, obvykle přípony souborů .evt a .evtx, na místním nebo vzdáleném počítači.
- Grafická konzole :
eventvwr.msc - Powershell commandline příkazy:
Get-Command | Select-String EventLog - Powershell commandline příkazy pro uložené soubory
.evta.evtx:Get-Command | Select-String WinEvent
Získání informací o přihlášeních
Úspěšná přihlášení
Get-EventLog -LogName Security | Where { $_.InstanceId -eq 4624 -or 4648 } | Select TimeGenerated,EventID,EntryType,ReplacementStrings
Přihlášení určitého konta
Get-EventLog -LogName Security | Where { $_.ReplacementStrings -like 'LOCALSERVICE' } | Select TimeGenerated,EventID,EntryType,ReplacementStrings
Neúspěšná přihlášení
Get-EventLog -LogName Security | Where { $_.InstanceId -eq 4625 } | Select TimeGenerated,EventID,EntryType,ReplacementStrings
💡 Když přidám za
SelectještěMessage, dozvím se mnohem detailnější informace.