监控 Windows PowerShell：启用模块日志记录

有一个小而有用的组策略设置，您可以在其中启用对 PowerShell 的监视，特别是与 PowerShell 模块相关的命令的使用。所以，我尝试了一下，我想以这篇博文的形式为我的读者和我自己保留这些知识。

使用组策略控制台激活模块日志记录

在我们开始之前，请注意：您可以激活用户或计算机级别的登录。区别很明显：如果您配置计算机的设置，则将启用所有用户的日志记录。在 PowerShell 或 cmd 中输入 gpedit.msc。这将打开本地组策略设置的图形用户界面。

gpedit.msc

导航到计算机配置 - 管理模板 - Windows 组件 - Windows PowerShell，然后双击“打开模块日志记录”。

您可以在此处指定每个 PowerShell 模块的日志记录设置。

我们来尝试一下吧。我单击“启用”，然后在“选项”部分中单击“显示...”我想记录 PowerShell 模块 NetTCPIP 的所有事件。因此，在值字段中我输入 NetTCPIP。

然后我单击“确定”两次。设置更改为启用。看起来不错。

最后，我运行 gpupdate /force 来更新之前配置的组策略设置。

gpupdate /force

哇，我已经配置了计算机级别的日志记录。现在我做主。 ?

建议1：您不记得所有模块名称吗？到底是什么，为什么不呢？ ? 好的，我明白了，那就跑吧

Get-Module -ListAvailable | Select Name 

找出所有的名字。

建议 2：要监视所有 PowerShell 命令，只需输入 * 而不是模块名称。

测试配置

从现在开始，必须发生以下情况：如果我运行与 NetTCPIP 模块相关的命令，则系统必须在事件查看器中记录此事件。

为了测试，我运行

Get-NetIPAddress

然后我打开事件查看器 (eventvwr)。并找到这个：

大哥正望着你。

使用 PowerShell 激活模块日志记录

激活模块日志记录的另一种方法是使用 PowerShell。以下命令激活 Active Directory 模块的模块日志记录（仅在安装了 RSAT 的域控制器或计算机上可用）：

Import-Module ActiveDirectory
(Get-Module ActiveDirectory).LogPipelineExecutionDetails = $true
(Get-Module ActiveDirectory).LogPipelineExecutionDetails

好吧，让我们运行我的博客文章 PowerShell：我用于记录和监控 Active Directory 的 10 个最常用命令中的命令。

Get-ADDomainController -Filter * | Format-List Name,Ipv4Address,IPv6Address,OperatingSystem

执行后，我在事件查看器中找到：

请注意，通过这种方式配置的设置仅在当前会话中有效。

监控愉快！