Ankündigung

Einklappen
Keine Ankündigung bisher.

Powershell AppLocker Get-WinEvent mit geblockter exe-Datei anzeigen

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Powershell AppLocker Get-WinEvent mit geblockter exe-Datei anzeigen

    Hallo Miteinander

    Eine Frage an die PowerShell-Guru's unter Euch :-)

    Ich möchte via PowerShell herausfinden, welche ausgeführten (*.exe)-Dateien vom aktiven AppLocker geblockt wurden.

    Dieser Befehl wäre grundsätzlich das, was ich benötige:
    Get-WinEvent -LogName "Microsoft-Windows-AppLocker/EXE and DLL" | Where-Object {$_.id -eq 8004} | Format-List

    Mein Problem hierbei ist jedoch, dass ich zu wenige Informationen erhalte:
    TimeCreated : 18.03.2015 07:33:50
    ProviderName : Microsoft-Windows-AppLocker
    Id : 8004
    Message :

    Wie Ihr seht, ist "Message" leer. Ich möchte dieselbe Meldung erhalten wie diese, die in der Beschreibung steht, wenn ich über den normalen "Maus-Klick-Weg" gehe. Beispielsweise:
    "Die Ausführung von \\SERVER\HOMEVERZEICHNIS\MeineDatei.EXE wurde verhindert."


    Weiss jemand von Euch, wie ich zu diesem Inhalt komme?

    Besten Dank schon im Voraus für Eure Unterstützung.

    Gruss
    Lynx
    Unmögliches wird sofort erledigt.. Wunder dauern etwas länger..
Lädt...
X