Windows Log Analizi — Powershell ile En Önemli Logların Uzaktan Toplanması

Bu yazımızda powershell aracılığıyla en önemli logların uzaktan nasıl toplanabileceğini ele alacağız.

İlk olarak log toplamak için https://github.com/kaleakademi/uzak-sistemlerden-log-toplama/blob/main/test.ps1 powershell kodunu kullanalım.

Uzak sistemlerin hostname bilgisini hostname.txt dosyasına yazalım.

Bu işlemin yapılabilmesi için PSRemoting sistemlerde aktif halde olmalıdır.

Bütün sistemlere erişebilmek için aşağıdaki kodu kullanabiliriz:

foreach($host in Get-Content .\hostname.txt) {
if($host -match $regex){
Write-Output $host
Invoke-Command -ComputerName $host -FilePath test.ps1 |Out-File -FilePath “$host.txt”
}
}

Her bir hostname için bir dosya oluşacak ve toplanan önemli loglar bu dosyalardan incelenebilecektir.

Ayrıca Windows Incident Response aracımıza https://github.com/kaleakademi/windows-incident-reponse-tool linki aracılığıyla ulaşabilirsiniz.