Eine Frage an die PowerShell-Guru's unter Euch :-)
Ich möchte via PowerShell herausfinden, welche ausgeführten (*.exe)-Dateien vom aktiven AppLocker geblockt wurden.
Dieser Befehl wäre grundsätzlich das, was ich benötige:
Get-WinEvent -LogName "Microsoft-Windows-AppLocker/EXE and DLL" | Where-Object {$_.id -eq 8004} | Format-List
Mein Problem hierbei ist jedoch, dass ich zu wenige Informationen erhalte:
TimeCreated : 18.03.2015 07:33:50
ProviderName : Microsoft-Windows-AppLocker
Id : 8004
Message :
Wie Ihr seht, ist "Message" leer. Ich möchte dieselbe Meldung erhalten wie diese, die in der Beschreibung steht, wenn ich über den normalen "Maus-Klick-Weg" gehe. Beispielsweise:
"Die Ausführung von \\SERVER\HOMEVERZEICHNIS\MeineDatei.EXE wurde verhindert."
Weiss jemand von Euch, wie ich zu diesem Inhalt komme?
Besten Dank schon im Voraus für Eure Unterstützung.
Gruss
Lynx