Trong bài viết dưới đây, chúng tôi sẽ giới thiệu và hướng dẫn các bạn cách sử dụngPowerShell để tạo các bản ghi log trên hệ thống, cụ thể ở đây là lệnh cmdlet Write-EventLog. Cú pháp cơ bản của lệnh này có dạng:
Trích dẫn:PS C:\> help Write-EventLog
Lưu ý rằng khi sử dụng cmdlet này, các bạn phải khai báo tên file log, source, event id và message tương ứng. Rất giống với công cụ command EVENTCREATE.EXE, nhưng người dùng lại không thể sử dụng các nguồn không theo chuẩn hoặc tương tự như vậy. Mà thay vào đó họ phải khởi tạo những thông số kỹ thuật hoặc nguồn dữ liệu trước tiên. Và 1 trong những cách đơn giản nhất để tìm nguồn dữ liệu là dùng Windows Management Instrumentation (WMI).
Nếu 1 trong những nguồn trên có vẻ phù hợp thì các bạn hãy ghi lại thành bản ghi như sau:
Trích dẫn:PS C:\> write-eventlog System -source Server -eventid 12345 -message "I am a custom event log message"
Dạng entry mặc định là Information, người dùng có thể tạo riêng eventID và thay đổi, chỉnh sửa bất kỳ lúc nào:
Trích dẫn:PS C:\> get-eventlog system -newest 1 | format-list EventID,EntryType,Source,Message EventID : 12345 EntryType : Information Source : Server Message : The description for Event ID '12345' in Source 'Server' cannot be found. The local computer may not have the necessary registry information or message DLL files to display the message, or you may not have permission to access them. The following inform ation is part of the event:'I am a custom event log message'
Giả sử rằng nếu muốn tìm kiếm event ID hoặc message bất kỳ nào đó, chắc hẳn sẽ nhận được lỗi nho nhỏ như dưới đây:
Trích dẫn:PS C:\> get-eventlog system -newest 1 -message "*custom event*" Index Time EntryType Source InstanceID Message ----- ---- --------- ------ ---------- ------- 1512222 Jan 25 10:05 Information Server 12345 The des...
Không thực sự hoàn hảo, nhưng vẫn hoạt động đúng chức năng. Trong khi nếu xét về mặt lý thuyết thì chúng ta có thể đăng ký bằng các nguồn dữ liệu mới, và cũng có thể tạo được bản ghi mới bằng cách dùng cmdlet lệnhNew-Eventlog. Thông thường thì lệnh cmdlet này được áp dụng để những nhà phát triển, lập trình xây dựng 1 mô hình event log cố định. Ví dụ dưới đây, chúng ta sẽ tạo 1 bản ghi log theo dạng custom, đồng thời khởi tạo 1 số nguồn dữ liệu khác nhau.
Đó là 1 file log hoàn toàn mới, tiếp theo là việc kiểm tra nguồn dữ liệu – source:
Trích dẫn:PS C:\> $log.sources PSLogging ADSI Other Test WMI
Và cuối cùng, nhập ít dữ liệu bất kỳ vào đây:
Trích dẫn:PS C:\> Write-EventLog PSLogging -Source Test -eventID 1000 -Message "I am the first entry"
Bên cạnh đó, chúng ta có thể sử dụng bất kỳ event ID nào, hoặc tự khởi tạo chúng theo ý muốn:
Trích dẫn:PS C:\> get-eventlog PSLogging | format-list Index : 14 EntryType : Information InstanceId : 1000 Message : I am the first entry Category : (1) CategoryNumber : 1 ReplacementStrings : {I am the first entry} Source : Test TimeGenerated : 1/25/2012 10:45:47 AM TimeWritten : 1/25/2012 10:45:47 AM UserName :
Tại bước này, Windows sẽ không “quan tâm” tới event ID nữa. Nếu muốn gán thêm bất kỳ nguồn dữ liệu nào khác, các bạn chỉ cần sử dụng lại lệnh cmdlet New-Eventlog:
Trích dẫn:PS C:\> Get-WmiObject win32_NTEventlogfile -filter "filename='PSLogging'" | Select -expand Sources PSLogging ADSI Other Scripting Test WMI
Lệnh cmdlet New-Eventlog có tham số –computername đi kèm, do vậy sẽ dễ dàng hơn rất nhiều để khởi tạo 1 eventlog mới bất kỳ trên toàn bộ Desktop hoặc server – nơi chúng ta muốn giám sát, quản lý log. Chúc các bạn thành công!
Blog được xây dựng nhằm cung cấp, sưu tầm nguồn hướng dẫn cho các newbie học tập về hacking website, chứ không mang tính chất vẽ đường cho ai đó đi phá hoại(deface) nhằm gây tổn hại cho website hay sever nào đó. Mong you hãy coi đây như là cuốn ebook hay và bổ ích, cần là giở để xem. và hãy tận dụng nó đúng mục đích ! thanks !
0 nhận xét:
Đăng nhận xét