WMI 查询以读取“Microsoft-Windows-AppLocker/EXE and DLL”C#
本文关键字:and EXE DLL Microsoft-Windows-AppLocker 查询 读取 WMI | 更新日期: 2023-09-27 18:31:28
我创建了一个代理来使用 WMI 读取 windows 事件。我使用过去 3 年的代理来收集事件。它用于SEIM产品。查询如下所示
SELECT * FROM Win32_NTLogEvent where LogFile = 'System' or logFile='Active Directory Web Services'
我能够正确获取事件。但是现在我想读取apploacker事件"Microsoft-Windows-AppLocker/EXE和DLL"(应用程序和安全日志-> Microsoft->Windows -> AppLocker -> Exe和DLL)。
我尝试了下面的查询,但它返回零记录,尽管我有 40+ 条记录。我可以在事件查看器中看到记录。
SELECT * FROM Win32_NTLogEvent where LogFile = 'Microsoft-Windows-AppLocker/EXE and DLL'
我尝试过使用"wbemtest",但没有记录,没有错误。
我不确定是否可以使用 WMI 通过任何其他方式实现这一点。我知道Powershell有一个cmdlet,通过它我能够读取"Microsoft-Windows-AppLocker/EXE和DLL"事件。但我想使用 WMI 阅读它。
任何指示将不胜感激。
提前感谢所有观众。
WMI 查询似乎分析注册表位置HKLM'SYSTEM'CurrentControlSet'Services'EventLog
以获取可用的事件日志(请参阅 MSDN 论坛帖子)。检查您在此处找到的列表以及查询结果 Select * FROM Win32_NTEventLogFile
。
若要为 WMI 操作添加日志文件,请在上述注册表位置下添加一个具有日志名称的新项(在本例中为"Microsoft-Windows-AppLocker/EXE 和 DLL")。现在,它应该返回包含 WMI 查询的日志。
根据PowerShell版本,您可以使用"Get-WinEvent"命令来简化您正在执行的操作。
https://msdn.microsoft.com/en-us/powershell/reference/5.0/microsoft.powershell.diagnostics/get-winevent
Get-WinEvent -LogName "Microsoft-Windows-AppLocker/EXE and DLL"