Truy vấn WMI để đọc 'Microsoft-Windows-AppLocker/EXE và DLL' C#

Question

Tôi đã tạo một tác nhân để đọc sự kiện cửa sổ bằng WMI. Tôi ma sử dụng đại lý từ 3 năm qua để thu thập các sự kiện. Nó được sử dụng trong một sản phẩm SEIM. Truy vấn trông giống như

SELECT * FROM Win32_NTLogEvent where LogFile = 'System' or logFile='Active Directory Web Services' 

Tôi có thể nhận được sự kiện đúng cách. Nhưng bây giờ tôi muốn đọc các sự kiện apploacker 'Microsoft-Windows-AppLocker/EXE và DLL' (Nhật ký ứng dụng và bảo mật -> Microsoft -> Windows -> AppLocker -> Exe và DLL).

Tôi đã thử truy vấn dưới đây nhưng nó trả về số không ghi mặc dù tôi có hơn 40 bản ghi trong đó. Tôi có thể xem bản ghi trong trình xem sự kiện.

SELECT * FROM Win32_NTLogEvent where LogFile = 'Microsoft-Windows-AppLocker/EXE and DLL' 

Tôi đã thử với "wbemtest" nhưng không có bản ghi nào không có lỗi.

Tôi không chắc liệu điều này có thể đạt được bằng bất kỳ cách nào khác bằng WMI hay không. Tôi biết Powershell có một lệnh ghép ngắn và thông qua đó tôi có thể đọc các sự kiện 'Microsoft-Windows-AppLocker/EXE và DLL'. Nhưng tôi muốn đọc nó bằng WMI.

Mọi con trỏ sẽ được đánh giá cao.

Cảm ơn trước tất cả người xem.

Answer 1

Dường như truy vấn WMI phân tích vị trí đăng ký HKLM\SYSTEM\CurrentControlSet\Services\EventLog cho các bản ghi sự kiện khả dụng (xem MSDN Forum post). Kiểm tra danh sách bạn tìm thấy ở đó với kết quả truy vấn Select * FROM Win32_NTEventLogFile.

Để thêm nhật ký cho hoạt động WMI, thêm khóa mới bên dưới vị trí đăng ký ở trên với tên nhật ký ('Microsoft-Windows-AppLocker/EXE và DLL' trong trường hợp của bạn). Bây giờ nó sẽ trả về nhật ký đó với truy vấn WMI của bạn.

Answer 2

Tùy thuộc vào phiên bản PowerShell, bạn có thể sử dụng lệnh "Get-WinEvent" để đơn giản hóa những gì bạn đang làm.

https://msdn.microsoft.com/en-us/powershell/reference/5.0/microsoft.powershell.diagnostics/get-winevent

Get-WinEvent -LogName "Microsoft-Windows-AppLocker/EXE và DLL"