about_Logging
Kısa açıklama
PowerShell altyapıdan, sağlayıcılardan ve cmdlet'lerden Windows olay günlüğüne iç işlemleri günlüğe kaydeder.
Uzun açıklama
PowerShell, altyapıyı ve sağlayıcıları başlatma ve durdurma ve PowerShell komutlarını yürütme gibi PowerShell işlemleriyle ilgili ayrıntıları günlüğe kaydeder.
Not
Windows PowerShell 5.1 (ve daha eski), Windows olay günlükleri için EventLog cmdlet'lerini içerir. Bu sürümlerde, EventLog cmdlet'lerinin listesini görüntülemek için şunu yazın:
Get-Command -Noun EventLog. Daha fazla bilgi için Windows PowerShell sürümünüz için cmdlet belgelerine ve about_EventLogs bakın.
PowerShell 7'de günlüğe kaydetme hakkında bilgi için aşağıdaki makalelere bakın:
Windows'da PowerShell olay günlüğü girdilerini görüntüleme
PowerShell günlükleri Windows Olay Görüntüleyicisi kullanılarak görüntülenebilir. Olay günlüğü, Uygulama ve Hizmet Günlükleri grubunda bulunur ve Microsoft-Windows-PowerShell olarak adlandırılır. İlişkili ETW sağlayıcısıdır GUID{A0C1853B-5C40-4B15-8766-3CF1C58F985A}.
Betik Bloğu Günlüğü etkinleştirildiğinde, PowerShell aşağıdaki olayları Microsoft-Windows-PowerShell/İşlem günlüğünde günlüğe kaydeder:
| Alan | Değer |
|---|---|
| EventId | 4104 / 0x1008 |
| Kanal | Operational |
| Level | Verbose |
| Işlem kodu | Create |
| Görev | CommandStart |
| Anahtar sözcük | Runspace |
Betik Bloğu Günlüğünü Etkinleştirme
Betik Bloğu Günlüğünü etkinleştirdiğinizde PowerShell, işlediği tüm betik bloklarının içeriğini kaydeder. Etkinleştirildikten sonra, tüm yeni PowerShell oturumları bu bilgileri günlüğe kaydeder.
Not
Hassas verilerin korunduğundan emin olmak için, tanılama dışında herhangi bir amaçla Betik Bloğu Günlüğü kullanırken Korumalı Olay Günlüğünü etkinleştirin.
Betik Bloğu Günlüğü, Grup İlkesi veya kayıt defteri ayarı aracılığıyla etkinleştirilebilir.
Grup İlkesi Kullanma
Otomatik transkripsiyonu etkinleştirmek için, Yönetici istrative Templates -Windows Components ->>Windows PowerShell aracılığıyla Grup İlkesi'nde PowerShell Betik Bloğu Günlüğünü Aç özelliğini etkinleştirin.
Kayıt Defterini Kullanma
Aşağıdaki işlevi çalıştırın:
function Enable-PSScriptBlockLogging {
$basePath = @(
'HKLM:\Software\Policies\Microsoft\Windows'
'PowerShell\ScriptBlockLogging'
) -join '\'
if (-not (Test-Path $basePath)) {
$null = New-Item $basePath -Force
}
Set-ItemProperty $basePath -Name EnableScriptBlockLogging -Value "1"
}
Korumalı Olay Günlüğü
Bir sistemde günlüğe kaydetme düzeyinin artırılması, günlüğe kaydedilen içeriğin hassas veriler içerme olasılığını artırır. Örneğin, betik günlüğü etkinleştirildiğinde, bir betik tarafından kullanılan kimlik bilgileri veya diğer hassas veriler olay günlüğüne yazılabilir. Hassas verileri günlüğe kaydeden bir makinenin güvenliği aşıldığında, günlükler saldırgana erişimlerini genişletmek için gereken bilgileri sağlayabilir.
Windows 10, bu bilgileri korumak için Korumalı Olay Günlüğü'ne giriş yaptı. Korumalı Olay Günlüğü, katılan uygulamaların olay günlüğüne yazılan hassas verileri şifrelemesine olanak tanır. Daha sonra bu günlüklerin şifresini çözebilir ve daha güvenli ve merkezi bir günlük toplayıcı üzerinde işleyebilirsiniz.
Olay günlüğü içeriği, IETF Şifreleme İletisi Söz Dizimi (CMS) standardı kullanılarak korunur. CMS ortak anahtar şifrelemesi kullanır. İçeriği şifrelemek ve içeriğin şifresini çözmek için kullanılan anahtarlar ayrı tutulur.
Ortak anahtar yaygın olarak paylaşılabilir ve hassas veriler değildir. Bu ortak anahtarla şifrelenen tüm içeriğin şifresi yalnızca özel anahtarla çözülebilir. Ortak Anahtar Şifrelemesi hakkında daha fazla bilgi için bkz . Vikipedi - Ortak Anahtar Şifrelemesi.
Korumalı Olay Günlüğü ilkesini etkinleştirmek için, korunacak olay günlüğü verileri olan tüm makinelere bir ortak anahtar dağıtın. İlgili özel anahtar, olay günlüklerini merkezi olay günlüğü toplayıcısı veya SIEM toplayıcısı gibi daha güvenli bir konumda işlemek için kullanılır. SIEM'i Azure'da ayarlayabilirsiniz. Daha fazla bilgi için bkz . Genel SIEM tümleştirmesi.
Grup İlkesi aracılığıyla Korumalı Olay Günlüğünü Etkinleştirme
Korumalı Olay Günlüğünü etkinleştirmek için, aracılığıyla Administrative Templates -> Windows Components -> Event LoggingGrup İlkesi'nde özelliği etkinleştirinEnable Protected Event Logging. Bu ayar, çeşitli biçimlerden birinde sağlayabileceğiniz bir şifreleme sertifikası gerektirir:
- Base-64 ile kodlanmış X.509 sertifikasının içeriği (örneğin, Sertifika Yöneticisi'ndeki seçeneğin
Exportsunduğu gibi). - Yerel Makine sertifika deposunda bulunabilen bir sertifikanın parmak izi (PKI altyapısı tarafından dağıtılabilir).
- Sertifikanın tam yolu (yerel veya uzak bir paylaşım olabilir).
- Sertifika veya sertifika içeren bir dizinin yolu (yerel veya uzak bir paylaşım olabilir).
- Yerel Makine sertifika deposunda bulunabilen bir sertifikanın konu adı (PKI altyapısı tarafından dağıtılabilir).
Sonuçta elde edilen sertifikanın gelişmiş anahtar kullanımı ()1.3.6.1.4.1.311.80.1 ve ya da Key EnciphermentData Encipherment anahtar kullanımları etkin olmalıdırDocument Encryption.
Uyarı
Özel anahtar, olayları günlüğe kaydetme makinelerine dağıtılmamalıdır. İletilerin şifresini çözeceğiniz güvenli bir konumda tutulmalıdır.
Korumalı Olay Günlüğü iletilerinin şifresini çözme
Aşağıdaki betik, özel anahtarınız olduğu varsayılarak olayları alır ve şifresini çözer:
Get-WinEvent Microsoft-Windows-PowerShell/Operational |
Where-Object Id -eq 4104 |
Unprotect-CmsMessage
Ayrıca bkz.
PowerShell
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin