Logging PowerShell using Script Block Logging
Contents
Logging PowerShell using Script Block Logging
預設的Windows事件日誌(Event 4104)系統,其資訊搜集範圍有限,無法完整記錄所有PowerShell指令。
若需全面追蹤所有指令,需啟用指令區塊記錄(Script Block Logging)功能。
Windows Version
目前測試可用環境
- Windows Server 2012, 2019
- Windows 7, 10
Setup
New-Item 'HKLM:\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging' -Force
New-ItemProperty "HKLM:\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name
EnableScriptBlockLogging -Value 1 -PropertyType Dword
EXAMPLE
