Ich habe einen Agenten zum Lesen von Windows-Ereignis mit WMI erstellt. Ich benutze den Agenten der letzten 3 Jahre, um Ereignisse zu sammeln. Es wird in einem SEIM-Produkt verwendet. Die Abfrage sieht so aus:WMI-Abfrage zu Lesen 'Microsoft-Windows-AppLocker/EXE und DLL' C#
SELECT * FROM Win32_NTLogEvent where LogFile = 'System' or logFile='Active Directory Web Services'
Ich bin in der Lage, die Ereignisse richtig zu bekommen. Aber jetzt möchte ich Apploacker-Ereignisse "Microsoft-Windows-AppLocker/EXE und DLL" (Anwendungs- und Sicherheitsprotokolle -> Microsoft -> Windows -> AppLocker -> Exe und DLL) lesen.
Ich versuchte die folgende Abfrage, aber es gibt Null-Datensatz, obwohl ich mehr als 40 Datensätze darin haben. Ich kann den Datensatz in der Ereignisanzeige sehen.
Ich habe versucht mit "wbemest" aber keine Aufzeichnung ohne Fehler.
Ich bin nicht sicher, ob dies auf andere Weise mit WMI erreicht werden kann. Ich weiß, dass Powershell ein Cmdlet hat und über das ich "Microsoft-Windows-AppLocker/EXE und DLL" -Ereignisse lesen kann. Aber ich möchte es mit WMI lesen.
Alle Hinweise werden sehr geschätzt.
Vielen Dank im Voraus an alle Zuschauer.
Laufen Sie als Administrator? – mikep
Ja, sicher. Ohne Domäne. Ausschalten/Einschalten Die UAC hat keine Auswirkungen. – Zam