我打算审核一个WMI类,以便在我提取报告时知道谁访问了实例或执行了方法。当这样的事件触发时,我可以运行电源shell来执行此类日志记录吗?
我搜索并找到了“Process Monitor”,但没有显示这些信息。
首先,您需要启用审核策略。然后,您可以使用Get-EventLog cmdlet轻松跟踪事件日志中的WMI访问。
Get-EventLog