'Microsoft-Windows-AppLocker/EXEとDLL'を読み込むWMIクエリC＃

Question

WMIを使用してWindowsイベントを読み取るエージェントを作成しました。私は過去3年間のエージェントを使ってイベントを収集しています。これはSEIM製品で使用されます。クエリは次のようになります

SELECT * FROM Win32_NTLogEvent where LogFile = 'System' or logFile='Active Directory Web Services' 

イベントを正しく取得できます。しかし今、Applokerイベント「Microsoft-Windows-AppLocker/EXEとDLL」（アプリケーションとセキュリティログ - > Microsoft-> Windows-> AppLocker-> Exe And DLL）を読んでみたい。

私は以下のクエリを試しましたが、私は40以上のレコードを持っていますが、ゼロレコードを返します。私はイベントビューアでそのレコードを見ることができます。

SELECT * FROM Win32_NTLogEvent where LogFile = 'Microsoft-Windows-AppLocker/EXE and DLL' 

私はエラーなしで「WBEMTEST」が、無記録で試してみました。

これがWMIを使用して他の方法で達成できるかどうかはわかりません。 Powershellにはコマンドレットがあり、それを介して「Microsoft-Windows-AppLocker/EXEとDLL」イベントを読むことができます。しかし、私はWMIを使ってそれを読んでいます。

どのポインタも高く評価されます。

すべての視聴者に事前に感謝します。

Answer 1

WMIクエリは、使用可能なイベントログについては、レジストリの場所HKLM\SYSTEM\CurrentControlSet\Services\EventLogを解析しているようです（MSDN Forum postを参照）。 そこにあるリストをクエリSelect * FROM Win32_NTEventLogFileの結果と照合してください。

WMI操作のログファイルを追加するには、上記のレジストリの場所にログの名前（ケースには「Microsoft-Windows-AppLocker/EXE and DLL」）を追加します。これでWMIクエリでそのログが返されます。

Answer 2

PowerShellのバージョンによっては、「Get-WinEvent」コマンドを使用して、実行中の作業を簡略化することができます。

https://msdn.microsoft.com/en-us/powershell/reference/5.0/microsoft.powershell.diagnostics/get-winevent

のGet-WinEventの-LogName "マイクロソフトのWindows-のAppLocker/EXEやDLL"