psloglist가 액세스 할 수 있도록 이벤트 로그를 어떻게 등록합니까?

0

이 게시물은 Sysinternals / Microsoft의 새로운 sysmon 도구와 Systernals / Microsoft의 psloglist.exe와 관련된 이벤트 로그에 관한 것입니다.

PSLoglist를 사용하여 sysmon windows 이벤트 로그 : "응용 프로그램 및 서비스 로그 / Microsoft / Windows / Sysmon / Operational"을 쿼리하고 싶습니다.

내 Windows 7 컴퓨터에서 (psloglist -z)를 볼 수 있습니다.

Event logs available on <computername>:
    ActivationClientLibrary
    Application
    Cisco AnyConnect Secure Mobility Client
    Dell
    HardwareEvents
    Internet Explorer
    Key Management Service
    Media Center
    ODiag
    OSession
    Security
    Symantec Enterprise Vault
    Symantec Enterprise Vault Converters
    System
    Windows PowerShell

psloglist에 따르면, 이들은 내 컴퓨터에 '등록 된'이벤트 로그입니다. Sysmon / Operational은이 목록에 포함되지 않았습니다. 이 때문에 psloglist는이 로그에 액세스 할 수 없습니다.

질문 : psloglist가 내용에 액세스 할 수 있도록이 로그를 어떻게 등록합니까?

감사 -

windows-7  windows  event-log 
RobW
소스

답변:

1

다음은 답이 아니지만 임시 해결책입니다.

sysmon \ operational 로그의 이벤트 뷰어에서 마우스 오른쪽 단추를 클릭하고 "모든 이벤트를 다른 이름으로 저장 ..."을 선택한 다음 evtx 파일로 저장하십시오. 예 : sysmon.evtx

psloglist -d 999 -r -s -t \ t -x -l sysmon.evtx sys> sysmon.txt를 통해 처리합니다.

내가 선호하는 것은 아니지만 지금은 사용할 수 있습니다.

사용자
소스
이 로그 파일 저장을 자동화하는 방법이 있는지 알고 있습니까? 이 작업을 수행 할 서버가 ~ 100 대이므로 수동 추출이 실제로 실용적이지 않습니다.
RobW
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.