> Tech > PSLOGLIST

PSLOGLIST

Tech - Par Mark Russinovich - Publié le 24 juin 2010
email

Le journal d’événements Windows contient une masse d’informations sur la santé et la sécurité de vos systèmes, applications et comptes utilisateur. La récolte de ces données joue un grand rôle dans la gestion du réseau Windows, mais beaucoup des outils aptes à gérer les journaux d’événements pour l’ensemble du réseau sont des produits commerciaux, ou présupposent la maîtrise du scripting WMI (Windows Management Interface) ou de la syntaxe de requête SQL.Le journal d’événements Windows contient une masse d’informations sur la santé et la sécurité de vos systèmes, applications et comptes utilisateur. La récolte de ces données joue un grand rôle dans la gestion du réseau Windows, mais beaucoup des outils aptes à gérer les journaux d’événements pour l’ensemble du réseau sont des produits commerciaux, ou présupposent la maîtrise du scripting WMI (Windows Management Interface) ou de la syntaxe de requête SQL.

PSLOGLIST

La figure 1 montre la syntaxe ligne de commande pour de nombreuses options de PsLogList. Si on exécute PsLogList sans aucun argument ligne de commande, il imprime tout le contenu du journal System du système local. La figure 2, montre l’information que PsLogList affiche. Elle reflète ce que le Windows Event Viewer montre, y compris le numéro de l’enregistrement d’événement (entre crochets), la source, le type, l’ordinateur, le tampon-horodateur, l’ID et le texte.

Quand vous voulez transférer le contenu d’un journal d’événements différent (par exemple, Security log, Application log, DNS log), entrez les premières lettres du nom du journal. Par exemple, la commande suivante transfère le contenu du journal File Replication Service, qui est présent sur les DC (domain controllers) :

psloglist file

Quand vous voulez effacer un journal d’événements après en avoir extrait le contenu, ajoutez -c à la commande :

psloglist file -c

Il est certes intéressant de consulter les journaux d’événements d’un serveur local, mais le vrai mérite de PsLogList est de pouvoir accéder au journal d’événements sur des systèmes distants. Pour cela, incluez le nom de l’ordinateur distant sur la ligne de commande, en préfixant le nom d’une double barre oblique inverse (\\). Si le compte à partir duquel vous exécutez PsLogList n’a pas d’accès Administrator local sur l’ordinateur distant, vous pouvez inclure des références alternées à l’aide du commutateur -u. Si vous choisissez de ne pas utiliser le commutateur -p pour inclure le mot de passe du compte, PsLogList vous demande d’entrer le mot de passe. PsLogList masque votre entrée et utilise l’authentification Windows standard afin que les références alternées ne soient pas transmises en texte clair.

Le commutateur @ de PsLogList permet d’agréger rapidement les données des journaux d’événements provenant de plusieurs ordinateurs. Portez les noms d’ordinateurs (avec ou sans le préfixe double barre oblique inverse) sur des lignes séparées dans un fichier texte, puis ajoutez le nom de ce fichier au commutateur @. La commande suivante utilise cette technique pour imprimer le journal Application à partir des systèmes listés dans un fichier nommé computers.txt.

psloglist @computers.txt application

Event Viewer traite le texte de l’événement en extrayant les chaînes d’insertion d’un enregistrement du journal d’événements puis en les insérant dans les chaînes de format correspondantes stockées dans les DLL source d’événements que le système et les applications enregistrent. La plupart des applications de visualisation d’événements, y compris Event Viewer, n’affichent que les chaînes d’insertion (pas le texte complet) pour les enregistrements qui font référence aux DDL source d’événements absents du système local. Cela rend le texte illisible. L’une des particularités de PsLogList est qu’il traite de telles chaînes en utilisant les DLL source provenant de systèmes distants. Mais cette fonction suppose que le partage administratif (Admin$) par défaut du système distant soit validé et accessible et que les DDL source d’événements se trouvent dans le répertoire \Windows. Assurez-vous que c’est bien le cas sur les systèmes distants avant d’utiliser PsLogList pour y recueillir des données. Faute de quoi, l’outil ne pourra pas afficher le texte d’événements complet.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par Mark Russinovich - Publié le 24 juin 2010