ก่อนหน้านี้ผมเคยพูดถึงเรื่องการติดตั้ง Sysmon เพื่อคอยเก็บ log การทำงานใดๆบนเครื่อง ไม่ว่าจะเป็นการใช้งานคำสั่ง การสร้างไฟล์ การเปลี่ยนเวลาของไฟล์ และอื่นๆ โดยเปิด Event Viewer ขึ้นมา จากนั้นไปที่ Applications and Services Logs\Microsoft\Windows\Sysmon\Operational
แต่หากเราต้องการจะ view log ของ Sysmon ผ่านทาง Powershell ก็สามารถทำได้เช่นกัน โดยใช้คำสั่งเป็น
|
1 |
Get-WinEvent -filterhashtable @{logname="Microsoft-Windows-Sysmon/Operational";id=XX} |
หากต้องการดูเฉพาะ activity ที่มันไม่ซำ้กันจะใช้เป็น
|
1 |
Get-WinEvent -filterhashtable @{logname="Microsoft-Windows-Sysmon/Operational";id=XX} | %{$_.Properties[4].Value} | sort -Unique |
โดย
- XX คือ Log ID
- %{$_.Properties[4].Value} คือ column 4
- sort -Unique เอาเฉพาะที่ไม่ซำ้กัน
Source:: 909research
You May also Like
LINE@Techsuii.com
