Как зарегистрировать журнал событий, чтобы psloglist мог получить к нему доступ?

это сообщение о новом инструменте sysmon от Sysinternals / Microsoft и журнале событий, относящемся к psloglist.exe, также из Sysinternals / Microsoft

Я хотел бы запросить журнал событий sysmon windows:
"Журналы приложений и служб / Microsoft / Windows/Sysmon / Operational"
с PSLoglist.

на моем компьютере с Windows 7 я вижу (psloglist-z):

Event logs available on <computername>:
    ActivationClientLibrary
    Application
    Cisco AnyConnect Secure Mobility Client
    Dell
    HardwareEvents
    Internet Explorer
    Key Management Service
    Media Center
    ODiag
    OSession
    Security
    Symantec Enterprise Vault
    Symantec Enterprise Vault Converters
    System
    Windows PowerShell

согласно psloglist, это "зарегистрированные" журналы событий на моем компьютере. Sysmon / Operational еще не включен в этот список. Из-за этого psloglist не может получить доступ к этому журналу.

вопрос: Как зарегистрировать этот журнал, чтобы psloglist мог получить доступ к его содержимому?

спасибо

Rob

5
задан RobW
18.12.2022 9:16 Количество просмотров материала 3037
Распечатать страницу

1 ответ

следующее нет ответа но мой промежуточный обходной путь...

в окне просмотра событий в журнале sysmon\operational щелкните правой кнопкой мыши, выберите " Сохранить все события как..." сохранить как файл evtx ... например, sysmon.evtx

я обрабатываю через программа psloglist -д 999 -р-с-т \т-х -л Sysmon с.evtx sys > sysmon.txt

Это не то, что я предпочитаю, но это полезная сейчас.

1
отвечен user34429 2022-12-19 17:04

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх