WMIを使用してWindowsイベントを読み取るエージェントを作成しました。私は過去3年間のエージェントを使ってイベントを収集しています。これはSEIM製品で使用されます。クエリは次のようになります'Microsoft-Windows-AppLocker/EXEとDLL'を読み込むWMIクエリC#
SELECT * FROM Win32_NTLogEvent where LogFile = 'System' or logFile='Active Directory Web Services'
イベントを正しく取得できます。しかし今、Applokerイベント「Microsoft-Windows-AppLocker/EXEとDLL」(アプリケーションとセキュリティログ - > Microsoft-> Windows-> AppLocker-> Exe And DLL)を読んでみたい。
私は以下のクエリを試しましたが、私は40以上のレコードを持っていますが、ゼロレコードを返します。私はイベントビューアでそのレコードを見ることができます。
SELECT * FROM Win32_NTLogEvent where LogFile = 'Microsoft-Windows-AppLocker/EXE and DLL'
私はエラーなしで「WBEMTEST」が、無記録で試してみました。
これがWMIを使用して他の方法で達成できるかどうかはわかりません。 Powershellにはコマンドレットがあり、それを介して「Microsoft-Windows-AppLocker/EXEとDLL」イベントを読むことができます。しかし、私はWMIを使ってそれを読んでいます。
どのポインタも高く評価されます。
すべての視聴者に事前に感謝します。
あなたは管理者として実行していますか? – mikep
はい、確かです。ドメインなし。ターンオフ/オンUACは影響を与えません。 – Zam