Мне нужно извлечь все идентификаторы событий с их задачами (или подкатегорией) для поставщика Windows-Microsoft-Security-Auditing.
это работает через Powershell для извлечения всех задач с помощью этой команды:
PS C:\WINDOWS\system32> (Get-WinEvent -listprovider "microsoft-windows-security-auditing").Tasks
Name Value DisplayName EventGuid
---- ----- ----------- ---------
SE_ADT_SYSTEM_SECURITYSTATECHANGE 12288 Security State Change 00000000-0000-0...
SE_ADT_SYSTEM_SECURITYSUBSYSTEMEXTENSION 12289 Security System Extension 00000000-0000-0...
SE_ADT_SYSTEM_INTEGRITY 12290 System Integrity 00000000-0000-0...
SE_ADT_SYSTEM_IPSECDRIVEREVENTS 12291 IPsec Driver 00000000-0000-0...
SE_ADT_SYSTEM_OTHERS 12292 Other System Events 00000000-0000-0...
SE_ADT_LOGON_LOGON 12544 Logon 00000000-0000-0...
SE_ADT_LOGON_LOGOFF 12545 Logoff 00000000-0000-0...
SE_ADT_LOGON_ACCOUNTLOCKOUT 12546 Account Lockout 00000000-0000-0...
SE_ADT_LOGON_IPSECMAINMODE 12547 IPsec Main Mode 00000000-0000-0...
Я также могу перечислить идентификатор события.
(Get-WinEvent -listprovider "microsoft-windows-security-auditing").events[100]
Id : 4734
Version : 0
LogLink : System.Diagnostics.Eventing.Reader.EventLogLink
Level : System.Diagnostics.Eventing.Reader.EventLevel
Opcode : System.Diagnostics.Eventing.Reader.EventOpcode
Task : System.Diagnostics.Eventing.Reader.EventTask
Keywords : {}
Template : <template xmlns="http://schemas.microsoft.com/win/2004/08/events">
<data name="TargetUserName" inType="win:UnicodeString" outType="xs:string"/>
<data name="TargetDomainName" inType="win:UnicodeString" outType="xs:string"/>
<data name="TargetSid" inType="win:SID" outType="xs:string"/>
<data name="SubjectUserSid" inType="win:SID" outType="xs:string"/>
<data name="SubjectUserName" inType="win:UnicodeString" outType="xs:string"/>
<data name="SubjectDomainName" inType="win:UnicodeString" outType="xs:string"/>
<data name="SubjectLogonId" inType="win:HexInt64" outType="win:HexInt64"/>
<data name="PrivilegeList" inType="win:UnicodeString" outType="xs:string"/>
</template>
Description : Un groupe local dont la sécurité est activée a été supprimé.
Sujet :
ID de sécurité : %4
Nom du compte : %5
Domaine du compte : %6
ID d’ouverture de session : %7
Groupe :
ID de sécurité : %3
Nom du groupe : %1
Domaine du groupe : %2
Informations supplémentaires :
Privilèges : %8
Но когда я запрашиваю задание идентификатора события, он всегда выдает 0
PS C:\WINDOWS\system32> (Get-WinEvent -listprovider "microsoft-windows-security-auditing").events[100].Task
Name Value DisplayName EventGuid
---- ----- ----------- ---------
0 00000000-0000-0000-0000-000000000000
Те же проблемыс помощью команды MSDOS wevtutil:
wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true
event:
value: 4615
version: 0
opcode: 0
channel: 10
level: 4
task: 0
keywords: 0x8000000000000000
message: Utilisation incorrecte du port LPC.
Sujet :
ID de sécurité : %1
Nom du compte : %2
Domaine du compte : %3
ID d’ouverture de session : %4
Informations sur le processus :
PID : %7
Nom : %8
Любая помощь?= D