نحوه فعال سازی لاگ PowerShell
PowerShell (پاورشل) یکی از ابزارهای محبوب و پرکاربرد ویندوزی است که نظارت بر عملکرد آن میتواند در مرکز عملیات امنیت بسیار حائز اهمیت باشد. به این منظور، بایستی لاگهای آن را طبق مراحل زیر فعال نمایید.
ابتدا از مسیر زیر به قسمت تنظیمات فعال سازی لاگ PowerShell بروید.
Start → Local Group Policy Editor → Administrative Templates → Windows Components → Windows PowerShell
در این قسمت، میتوان تیک گزینههای مورد نظر را علامت دار کرد:
Turn on Module Logging: این گزینه دستورات اجرا شده و بخشهایی از اسکریپت اجرایی را با هم لاگ کرده ولی جزئیات کمتری نسبت به گزینه Turn on PowerShell Script Block Logging ثبت میکند.
Turn on PowerShell Script Block Logging: این گزینه محتویات دستورات یا اسکریپتهای اجرایی را با جزئیات بیشتری ثبت میکند.
Turn on PowerShell Transcription: این گزینه، تمام دستورات و اسکریپتهای اجرایی را با حداقل جزئیات ثبت کرده و خروجی دستورات و اسکریپتها را نمایش میدهد.
نکته: توصیه میشود فقط گزینه Turn on PowerShell Transcription را فعال کنید، زیرا تمامی لاگهای مربوط به پاورشل توسط این گزینه ثبت میشود.
پس از انتخاب گزینه مورد نظر، در کادر محاوره ای نمایش داده شده، تیک گزینه Enabled آن را فعال کنید.
در نهایت پس از فعال کردن گزینه مورد نظر، به منظور اعمال تغییرات انجام شده در هر کدام از روشهای ذکر شده، در محیط CMD دستور زیر را اجرا کنید.
gpupdate /force