about_Logging
Rövid leírás
A PowerShell a motor, a szolgáltatók és a parancsmagok belső műveleteit naplózza a Windows eseménynaplóba.
Hosszú leírás
A PowerShell naplózza a PowerShell-műveletek részleteit, például a motor és a szolgáltatók indítását és leállítását, valamint a PowerShell-parancsok végrehajtását.
Feljegyzés
A Windows PowerShell 5.1 (és régebbi) tartalmazza a Windows eseménynaplóihoz tartozó EventLog-parancsmagokat . Ezekben a verziókban az EventLog-parancsmagok típusának megjelenítéséhez:
Get-Command -Noun EventLog. További információkért tekintse meg a Windows PowerShell-verzióhoz tartozó parancsmag dokumentációját és about_EventLogs .
A PowerShell 7-ben való naplózásról az alábbi cikkekben talál további információt:
A PowerShell eseménynapló-bejegyzéseinek megtekintése Windows rendszeren
A PowerShell-naplók a Windows Eseménynapló használatával tekinthetők meg. Az eseménynapló az Alkalmazás- és szolgáltatásnaplók csoportban található, és a neve Microsoft-Windows-PowerShell. A társított ETW-szolgáltató GUID a .{A0C1853B-5C40-4B15-8766-3CF1C58F985A}
Ha engedélyezve van a szkriptblokk-naplózás, a PowerShell a következő eseményeket naplózza a Microsoft-Windows-PowerShell/Működési naplóba:
| Mező | Érték |
|---|---|
| EventId | 4104 / 0x1008 |
| Csatorna | Operational |
| Level | Verbose |
| Opcode | Create |
| Task | CommandStart |
| Kulcsszó | Runspace |
Szkriptblokk naplózásának engedélyezése
A szkriptblokkok naplózásának engedélyezésekor a PowerShell rögzíti az általa feldolgozott összes szkriptblokk tartalmát. Ha engedélyezve van, minden új PowerShell-munkamenet naplózza ezeket az információkat.
Feljegyzés
A bizalmas adatok védelmének biztosítása érdekében engedélyezze a védett eseménynaplózást, ha a szkriptblokk-naplózást nem diagnosztikai célokra használja.
A szkriptblokk-naplózás csoportházirenddel vagy beállításjegyzék-beállítással engedélyezhető.
Csoportházirend használata
Az automatikus átírás engedélyezéséhez engedélyezze a PowerShell-szkriptblokkok naplózásának bekapcsolása a csoportházirendben Rendszergazda istrative templates -Windows Components ->>Windows PowerShell használatával.
A beállításjegyzék használata
Futtassa a következő függvényt:
function Enable-PSScriptBlockLogging {
$basePath = @(
'HKLM:\Software\Policies\Microsoft\Windows'
'PowerShell\ScriptBlockLogging'
) -join '\'
if (-not (Test-Path $basePath)) {
$null = New-Item $basePath -Force
}
Set-ItemProperty $basePath -Name EnableScriptBlockLogging -Value "1"
}
Védett eseménynaplózás
A rendszer naplózási szintjének növelése növeli annak lehetőségét, hogy a naplózott tartalom bizalmas adatokat tartalmazhat. Ha például engedélyezve van a szkriptnaplózás, a szkript által használt hitelesítő adatok vagy egyéb bizalmas adatok írhatók az eseménynaplóba. Ha egy bizalmas adatokat naplózott gép sérül, a naplók a támadók számára olyan információkat biztosíthatnak, amelyek az elérésük kiterjesztéséhez szükségesek.
Ezen információk védelme érdekében a Windows 10 védett eseménynaplózást vezet be. A védett eseménynaplózás lehetővé teszi, hogy a részt vevő alkalmazások titkosítják az eseménynaplóba írt bizalmas adatokat. Később visszafejtheti és feldolgozhatja ezeket a naplókat egy biztonságosabb és központosított naplógyűjtőn.
Az eseménynapló tartalma az IETF titkosítási üzenet szintaxisa (CMS) szabványával van védve. A CMS nyilvános kulcsú titkosítást használ. A tartalom titkosításához és a tartalom visszafejtéséhez használt kulcsok külön maradnak.
A nyilvános kulcs széles körben megosztható, és nem bizalmas adatok. Az ezzel a nyilvános kulccsal titkosított tartalmakat csak a titkos kulcs tudja visszafejteni. A nyilvános kulcsok titkosításával kapcsolatos további információkért lásd a Wikipédiát – Nyilvános kulcs titkosítása című témakört.
A védett eseménynaplózási szabályzat engedélyezéséhez helyezzen üzembe egy nyilvános kulcsot minden olyan gépen, amely rendelkezik eseménynapló-adatokkal a védelem érdekében. A megfelelő titkos kulcs az eseménynaplók biztonságosabb helyen, például központi eseménynapló-gyűjtőn vagy SIEM-összesítőn történő feldolgozásához használható. A SIEM-et az Azure-ban is beállíthatja. További információ: Általános SIEM-integráció.
Védett eseménynaplózás engedélyezése csoportházirenddel
A védett eseménynaplózás engedélyezéséhez engedélyezze a funkciót a Enable Protected Event Logging csoportházirendben keresztül Administrative Templates -> Windows Components -> Event Logging. Ehhez a beállításhoz titkosítási tanúsítvány szükséges, amelyet több űrlap egyikében is megadhat:
- Egy base-64 kódolású X.509-tanúsítvány tartalma (például a
ExportTanúsítványkezelőben elérhető beállítás szerint). - A helyi gép tanúsítványtárolójában található tanúsítvány ujjlenyomata (A PKI-infrastruktúra üzembe helyezhető).
- A tanúsítvány teljes elérési útja (lehet helyi vagy távoli megosztás).
- Egy tanúsítványt vagy tanúsítványt tartalmazó könyvtár elérési útja (lehet helyi vagy távoli megosztás).
- A helyi gép tanúsítványtárolójában található tanúsítvány tulajdonosneve (a PKI-infrastruktúra üzembe helyezhető).
Az eredményül kapott tanúsítványnak továbbfejlesztett kulcshasználattal (1.3.6.1.4.1.311.80.1) kell rendelkeznieDocument Encryption, és vagy Data EnciphermentKey Encipherment engedélyezni kell a kulcshasználatot.
Figyelmeztetés
A titkos kulcsot nem szabad üzembe helyezni a gépek naplózási eseményein. Biztonságos helyen kell tartani, ahol visszafejtheti az üzeneteket.
Védett eseménynaplózási üzenetek visszafejtése
A következő szkript lekéri és visszafejti az eseményeket, feltéve, hogy rendelkezik a titkos kulccsal:
Get-WinEvent Microsoft-Windows-PowerShell/Operational |
Where-Object Id -eq 4104 |
Unprotect-CmsMessage
Lásd még
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: