Collecter les logs Windows et Sysmon

1. Surveiller les logs Windows avec PowerShell

Avant d’aborder les techniques plus industrialisées de gestion des logs Windows, il est important de rappeler l’existence de la cmdlet Get-EventLog. Celle-ci permet d’accéder aux journaux d’événements Windows avec PowerShell. Très utile pour la recherche dans les journaux Windows, elle supporte très bien les appels vers des machines distantes, permettant ainsi d’envisager des scripts de contrôle et de live-forensics, voire des embryons de supervision ciblée à l’aide de PowerShell. Get-EventLog

 Par exemple, pour récupérer les logs d’ouverture de sessions sur la machine Windows 10, exécutez :

> $logs = Get-EventLog -LogName Security -InstanceId 4624 

 Vous pouvez alors accéder au contenu de chaque log :

...
Pour consulter la suite, découvrez le livre suivant :
couv_EPCYBPOW.png
60-signet.svg
En version papier
20-ecran_lettre.svg
En version numérique
41-logo_abonnement.svg
En illimité avec l'abonnement ENI
130-boutique.svg
Sur la boutique officielle ENI
Précédent
Introduction
Suivant
Les logs PowerShell