WMI क्वेरी 'माइक्रोसॉफ्ट-विंडोज-ऐप लॉकर/EXE और DLL' सी #

Question

पढ़ने के लिए मैंने WMI का उपयोग कर विंडोज ईवेंट पढ़ने के लिए एक एजेंट बनाया है। मैं घटनाओं को इकट्ठा करने के लिए पिछले 3 वर्षों से एजेंट का उपयोग कर रहा हूँ। इसका उपयोग एक एसईआईएम उत्पाद में किया जाता है। क्वेरी

SELECT * FROM Win32_NTLogEvent where LogFile = 'System' or logFile='Active Directory Web Services' 

मैं घटनाओं को ठीक से प्राप्त करने में सक्षम हूं। लेकिन अब मैं apploacker घटनाओं 'माइक्रोसॉफ्ट-विंडोज-ऐप लॉकर/EXE और DLL' (एप्लिकेशन और सुरक्षा लॉग -> माइक्रोसॉफ्ट -> विंडोज़ -> ऐप लॉकर -> एक्सई और डीएलएल) पढ़ना चाहता हूं।

मैंने नीचे दी गई क्वेरी की कोशिश की लेकिन यह शून्य रिकॉर्ड लौटाता है हालांकि मेरे पास 40+ रिकॉर्ड हैं। मैं घटना दर्शक में रिकॉर्ड देख सकता हूं।

SELECT * FROM Win32_NTLogEvent where LogFile = 'Microsoft-Windows-AppLocker/EXE and DLL' 

मैंने "wbemtest" के साथ प्रयास किया है लेकिन कोई त्रुटि नहीं है।

मुझे यकीन नहीं है कि यह WMI का उपयोग करके किसी भी अन्य तरीके से हासिल किया जा सकता है। मुझे पता है कि पावरहेल के पास एक cmdlet है और जिसके माध्यम से मैं 'माइक्रोसॉफ्ट-विंडोज-ऐप लॉकर/एक्सई और डीएलएल' घटनाओं को पढ़ने में सक्षम हूं। लेकिन मैं इसे डब्लूएमआई का उपयोग करके पढ़ना चाहता हूं।

किसी भी पॉइंटर्स की अत्यधिक सराहना की जाएगी।

सभी दर्शकों के लिए अग्रिम धन्यवाद।

Answer 1

ऐसा लगता है कि WMI क्वेरी उपलब्ध ईवेंट लॉग के लिए रजिस्ट्री स्थान HKLM\SYSTEM\CurrentControlSet\Services\EventLog पार्स करता है (MSDN Forum post देखें)। क्वेरी Select * FROM Win32_NTEventLogFile के परिणाम के साथ वहां मिली सूची को चेक करें।

डब्लूएमआई संचालन के लिए लॉगफाइल जोड़ने के लिए, लॉग के नाम ('माइक्रोसॉफ्ट-विंडोज-ऐप लॉकर/एक्सई और डीएलएल' के नाम से उपरोक्त रजिस्ट्री स्थान के तहत एक नई कुंजी जोड़ें)। अब यह उस डब्लूएमआई क्वेरी के साथ उस लॉग को वापस कर देना चाहिए।

Answer 2

पावरशेल संस्करण के आधार पर, आप जो भी कर रहे हैं उसे सरल बनाने के लिए "Get-WinEvent" कमांड का उपयोग कर सकते हैं।

https://msdn.microsoft.com/en-us/powershell/reference/5.0/microsoft.powershell.diagnostics/get-winevent

हो जाओ-WinEvent -LogName "माइक्रोसॉफ्ट-Windows-AppLocker/EXE और DLL"