none
Auditoria de Logs RRS feed

  • Pergunta

  • Pessoal, hoje me deparei com uma necessidade abordada por vocês a tempos atrás. E peguei  os comando que seguem para  gerar arquivos html ou qualquer outro, dos logs aferidos.

    A minha pergunta é: Gostaria de poder usar estes mesmos comandos ou semelhantes para poder efetuar uma pesquisa dos Logs salvos, não dos padrões do Windows, Security, Sistem etc..

    Faço de tempos em tempo um save do log Security, e dou nomes, Mês, dia, ano etc.. mas quando tento trocar o "Security" do comando por estes que criei, não funciona! Nem pondo o caminho, nem pondo eles na pasta de logs, nem pondo só o nome ou nome com extensão.

    Se alguém pudesse me dar uma ajuda ae.. ficaria grato.

    Abraço!

    $Lista_Eventos_Exclusao = Get-EventLog -logname "Security" | where {$_.eventID -eq 4660}

    foreach($Evento_Exclusao IN $Lista_Eventos_Exclusao){
        $Usuario = $Evento_Exclusao.ReplacementStrings[1]
        $HandleID= $Evento_Exclusao.ReplacementStrings[5]
        $Identific= $Evento_Exclusao.ReplacementStrings[5]
        $DtHora  = $Evento_Exclusao.TimeGenerated

        $Lista_Eventos = Get-EventLog -logname "Security" | where {($_.eventID -eq 4656)} |  where {$_.ReplacementStrings[7] -eq $HandleID }

        foreach($Evento in $Lista_Eventos){
            $Objeto = $Evento.ReplacementStrings[6]

        }
        echo "<table>" >> \logs.html
        echo "<tr>">> \logs.html
        echo "<br/>" >> \logs.html
        echo "<td><b><i> $Usuario </i></b></td> <td>apagou o objeto</td> <td><b><i>$Objeto</i></b></td>   <td>em</td>  <td><b><i>$DtHora</i></b></td>  <td>identificador  <b><i> $Identific </i></b></td> " >> \logs.html
        echo "<tr>" >> \logs.html
        echo "</table>" >> \logs.html
    }

                
    terça-feira, 1 de julho de 2014 21:03

Respostas

  • Felipe,

    Tente o comando abaixo:

    $dataFim=[datetime]::Today
    $DataInicio=$dataFim.AddDays(-10) # Dia de hoje menos 10 dias
    $evts = get-winevent -FilterHashtable @{path="c:\mylogpath" logname="application"; Level= "1","2"; starttime = $DataInicio; endtime = $dataFim } -maxevents 10 | select TimeCreated, Providername, id, Message
    foreach($evt in $evts){
    $clear = RemoveBlankSpaces($evt.Message)
    $out += "$($evt.ID),$($evt.Providername),$($evt.TimeCreated),    $mess"
    }
    $out | out-file -filepath c:\relatorio.txt




    Att, Paulo Rocha MCP | MCDST | MCSA Server 2012


    terça-feira, 1 de julho de 2014 22:22