Event-Log Bezeichnungen
Jedes Ereignis hat seine Standardfelder. Im einzelnen bedeuten diese folgendes:
- Logname:
- Ist der Name des Ereignisprotokolls. Dazu zählen unter anderem Anwendung, Sicherheit, Setup, System usw.
- Source:
- Ist eine Bezeichnung der Quelle, um diese voneinander unterscheiden zu können. In der Regel steht dort ein Dienst oder eine Anwendung die das Ereignis erzeugt hat.
- Event-ID:
- Jedes Ereignis hat eine eigene ID. Zusammen mit dem Logname kann daraus schon eine Menge abgeleitet werden.
- Level:
- Es gibt insgesamt 6 verschiedene Stufen. Dabei gibt der Level die Ereigniskritikalität wieder. LogAlways (0), Critical (1), Error (2), Warning (3), Information (4), Verbose (5).
- User:
- Unter User finden wir den Namen der das Ereignis generiert hat. In der Regel ist das SYSTEM oder N/A.
- Logged:
- Hinter diesem Feld finden wir den genauen Zeitpunkt, wann das Ereignis gemeldet wurde.
- Task Category:
- Hier hinter steht in der Regel eine Kategorie. Viele Ereignisse sind Kategorisiert, aber nicht alle.
- Keywords:
- Insgesamt gibt es 9 Schlüsselwörter. Die meistverwendeten sind Überwachung erfolgreich (Audit Success) und Überwachung nicht erfolgreich (Audit Failure)
- Computer:
- Der Name des Computers auf dem das Ereignis stattfand bzw. gemeldet hat.
WinEvent CMDLets abfragen
# WinEvent CMDLets abfragen
Get-Command *Event* -CommandType Cmdlet | Where-Object { $_.Source -ne ‘AWSPowerShell’ -and $_.Source -ne ‘Hyper-V’ -and $_.Source -notlike ‘*Azure*’}
# Windows Event Lognames auflisten
Get-WinEvent -ListLog * -ComputerName Worker
# Event Logs auflisten
Get-EventLog -List
WinEvent & WinLog Syntax abfragen
# WinEvent Syntax
(Get-Command -Name ‘Get-WinEvent’ -Syntax) -replace ‘\]? \[*(?=-|<C)’,”`r`n “
# EventLog Syntax
(Get-Command -Name ‘Get-EventLog’ -Syntax) -replace ‘\]? \[*(?=-|<C)’,”`r`n “
https://www.der-windows-papst.de/2021/02/08/windows-security-events-als-tabelle/