Tôi đã tạo một tác nhân để đọc sự kiện cửa sổ bằng WMI. Tôi ma sử dụng đại lý từ 3 năm qua để thu thập các sự kiện. Nó được sử dụng trong một sản phẩm SEIM. Truy vấn trông giống nhưTruy vấn WMI để đọc 'Microsoft-Windows-AppLocker/EXE và DLL' C#
SELECT * FROM Win32_NTLogEvent where LogFile = 'System' or logFile='Active Directory Web Services'
Tôi có thể nhận được sự kiện đúng cách. Nhưng bây giờ tôi muốn đọc các sự kiện apploacker 'Microsoft-Windows-AppLocker/EXE và DLL' (Nhật ký ứng dụng và bảo mật -> Microsoft -> Windows -> AppLocker -> Exe và DLL).
Tôi đã thử truy vấn dưới đây nhưng nó trả về số không ghi mặc dù tôi có hơn 40 bản ghi trong đó. Tôi có thể xem bản ghi trong trình xem sự kiện.
SELECT * FROM Win32_NTLogEvent where LogFile = 'Microsoft-Windows-AppLocker/EXE and DLL'
Tôi đã thử với "wbemtest" nhưng không có bản ghi nào không có lỗi.
Tôi không chắc liệu điều này có thể đạt được bằng bất kỳ cách nào khác bằng WMI hay không. Tôi biết Powershell có một lệnh ghép ngắn và thông qua đó tôi có thể đọc các sự kiện 'Microsoft-Windows-AppLocker/EXE và DLL'. Nhưng tôi muốn đọc nó bằng WMI.
Mọi con trỏ sẽ được đánh giá cao.
Cảm ơn trước tất cả người xem.
Bạn đang chạy as Administrator? – mikep
Vâng, chắc chắn rồi. Không có miền. Tắt/Bật UAC không ảnh hưởng. – Zam