none
Cómo logear cada uno de los comandos ejecutados en PowerShell RRS feed

  • Pregunta

  • Hola equipo,

    Me gustaría encontrar una manera de logear todos los comandos que se han ejecutado en una sesión de PowerShell a un fichero de texto.

    Por ejemplo, que la ejecutar un dir o cd, se guarde constancia de ello en un formato parecido al siguiente:

    Aug 8/7/2019 16:43 powershell[PID]: user <username> executed command dir.

    Y así con todos los comandos.

    Estoy tratando de encontrar una manera de registrar esas actividades con propósitos de integrarlo en una herramienta de ciberseguridad.

    Un saludo,

    Sergio.

    miércoles, 7 de agosto de 2019 15:02

Todas las respuestas

  • Hola Sergio,

    Puedes activar la transcripción de PowerShell con políticas de grupo (ya sea a nivel de dominio o con directivas locales).

    Para hacer esto, crea una política y ve a "Configuración del equipo > Directivas > Plantillas Administrativas > Componentes de Windows > Windows Powershell", ahi puedes activar "Activa la transcripción de PowerShell" y elegir el directorio donde se guardaran los logs, como ves aquí:

    Luego de forzar la actualización de la política con "gpupdate /force", puedes probar ejecutando un comando:

    Finalmente ve a la ruta que elegiste y comprueba que se guardaron las transcripciones:

    Espero que sea lo que estabas buscando,

    Saludos!


    Gabriel Talavera | MCSE - MCT https://blog.hybridcloud-ops.com



    jueves, 8 de agosto de 2019 2:20