about_Logging_Windows
Description courte
PowerShell consigne les opérations internes du moteur, des fournisseurs et des applets de commande dans le journal des événements Windows.
Description longue
PowerShell enregistre des détails sur les opérations PowerShell, telles que le démarrage et l’arrêt du moteur et des fournisseurs, et l’exécution de commandes PowerShell.
Pour plus d’informations sur la journalisation dans Windows PowerShell 5.1, consultez about_Logging.
PowerShell prend en charge la configuration de deux catégories de journalisation :
Journalisation des modules : enregistrez les événements d’exécution de pipeline pour les membres des modules spécifiés. La journalisation des modules doit être activée pour la session et les modules spécifiques. Pour plus d’informations sur la configuration de cette journalisation, consultez about_PowerShell_Config.
Si la journalisation des modules est activée par le biais de la configuration, vous pouvez activer et désactiver la journalisation pour des modules spécifiques dans une session en définissant la valeur de la propriété LogPipelineExecutionDetails du module.
Par exemple, pour activer la journalisation des modules pour le module PSReadLine :
$psrl = Get-Module PSReadLine $psrl.LogPipelineExecutionDetails = $true Get-Module PSReadline | Select-Object Name, LogPipelineExecutionDetails
Name LogPipelineExecutionDetails ---- --------------------------- PSReadLine True
Journalisation des blocs de script : enregistrez le traitement des commandes, des blocs de script, des fonctions et des scripts, qu’ils soient appelés de manière interactive ou via l’automatisation.
Lorsque vous activez la journalisation des blocs de script, PowerShell enregistre le contenu de tous les blocs de script qu’il traite. Une fois activée, toute nouvelle session PowerShell enregistre ces informations. Pour plus d’informations, consultez Activation de la journalisation des blocs de script.
Inscription du fournisseur d’événements PowerShell sur Windows
Contrairement à Linux ou macOS, Windows exige que le fournisseur d’événements soit inscrit avant que les événements puissent être écrits dans le journal des événements. Pour activer le fournisseur d’événements PowerShell, exécutez la commande suivante à partir d’une invite PowerShell avec élévation de privilèges.
$PSHOME\RegisterManifest.ps1
Affichage des entrées du journal des événements PowerShell sur Windows
Les journaux PowerShell peuvent être consultés à l’aide de l’Observateur d’événements Windows. Le journal des événements se trouve dans le groupe Journaux des applications et services et se nomme PowerShellCore. Le GUID du fournisseur ETW associé est {f90714a8-5509-434a-bf6d-b1624c8a19a2}
.
Lorsque la journalisation des blocs de script est activée, PowerShell consigne les événements suivants dans le journal PowerShellCore/Opérationnel :
Champ | Valeur |
---|---|
EventId | 4104 / 0x1008 |
Canal | Operational |
Niveau | Verbose |
Opcode | Create |
Tâche | CommandStart |
Mot clé | Runspace |
Désinscrire le fournisseur d’événements PowerShell sur Windows
L’inscription du fournisseur d’événements place un verrou dans la bibliothèque binaire utilisée pour décoder les événements. Pour mettre à jour cette bibliothèque, le fournisseur doit être désinscrit pour libérer ce verrou.
Pour annuler l’inscription du fournisseur PowerShell, exécutez la commande suivante à partir d’une invite PowerShell avec élévation de privilèges.
$PSHOME\RegisterManifest.ps1 -Unregister
Après la mise à jour de PowerShell, exécutez $PSHOME\RegisterManifest.ps1
pour inscrire le fournisseur d’événements mis à jour.
Activation de la journalisation des blocs de script
Lorsque vous activez la journalisation des blocs de script, PowerShell enregistre le contenu de tous les blocs de script qu’il traite. Une fois activée, toute nouvelle session PowerShell enregistre ces informations.
Remarque
Il est recommandé d’activer la journalisation des événements protégés, comme décrit ci-dessous, lors de l’utilisation de la journalisation de blocs de script à des fins autres que les diagnostics.
La journalisation des blocs de script peut être activée via une stratégie de groupe ou un paramètre de Registre.
Utilisation de la stratégie de groupe
Pour activer la transcription automatique, activez la fonctionnalité Activer la journalisation des blocs de script PowerShell dans la stratégie de groupe via des modèles d’administration ->PowerShell Core.
Utilisation du Registre
Exécutez la fonction suivante :
function Enable-PSScriptBlockLogging {
$basePath = @(
'HKLM:\Software\Policies\Microsoft'
'PowerShellCore\ScriptBlockLogging'
) -join '\'
if (-not (Test-Path $basePath)) {
$null = New-Item $basePath -Force
}
Set-ItemProperty $basePath -Name EnableScriptBlockLogging -Value "1"
}
Utilisation du fichier de configuration PowerShell
Vous pouvez définir l’option ScriptBlockLogging
dans le powershell.config.json
fichier qui contrôle le comportement de PowerShell. Pour plus d’informations, consultez about_PowerSHell_Config.
Journalisation des événements protégés
L’augmentation du niveau de journalisation sur un système augmente la possibilité que le contenu journalisé puisse contenir des données sensibles. Par exemple, avec la journalisation de script activée, les informations d’identification ou d’autres données sensibles utilisées par un script peuvent être écrites dans le journal des événements. Lorsqu’un ordinateur qui a enregistré des données sensibles est compromis, les journaux peuvent fournir à un attaquant des informations nécessaires pour étendre leur portée.
Pour protéger ces informations, Windows 10 introduit la journalisation des événements protégés. La journalisation des événements protégés permet aux applications participantes de chiffrer les données sensibles écrites dans le journal des événements. Plus tard, vous pouvez déchiffrer et traiter ces journaux sur un collecteur de journaux plus sécurisé et centralisé.
Le contenu du journal des événements est protégé à l’aide de la norme CMS (IETF Cryptographic Message Syntax). CMS utilise le chiffrement à clé publique. Les clés utilisées pour chiffrer le contenu et déchiffrer le contenu sont conservées séparément.
La clé publique peut être partagée largement et n’est pas des données sensibles. Tout contenu chiffré avec cette clé publique ne peut être déchiffré que par la clé privée. Pour plus d’informations sur le chiffrement à clé publique, consultez Wikipédia - Chiffrement à clé publique.
Pour activer une stratégie de journalisation des événements protégée, déployez une clé publique sur toutes les machines qui ont des données de journal des événements à protéger. La clé privée correspondante est utilisée pour post-traiter les journaux des événements à un emplacement plus sécurisé, tel qu’un collecteur de journaux d’événements central ou un agrégateur SIEM . Vous pouvez configurer SIEM dans Azure. Pour plus d’informations, consultez Intégration SIEM générique.
Activation de la journalisation des événements protégés par le biais d’une stratégie de groupe
Pour activer la journalisation des événements protégés, activez la fonctionnalité dans la Enable Protected Event Logging
stratégie de groupe via Administrative Templates -> Windows Components -> Event Logging
. Ce paramètre nécessite un certificat de chiffrement, que vous pouvez fournir dans l’un des plusieurs formulaires :
- Contenu d’un certificat X.509 codé en base 64 (par exemple, tel que proposé par l’option
Export
dans Certificate Manager). - Empreinte numérique d’un certificat qui se trouve dans le magasin de certificats ordinateur local (peut être déployée par l’infrastructure PKI).
- Chemin complet d’un certificat (peut être local ou un partage distant).
- Chemin d’accès à un répertoire contenant un certificat ou des certificats (peut être local ou un partage distant).
- Nom d’objet d’un certificat qui se trouve dans le magasin de certificats ordinateur local (peut être déployé par l’infrastructure PKI).
Le certificat résultant doit avoir Document Encryption
comme utilisation améliorée de la clé (1.3.6.1.4.1.311.80.1
) et Data Encipherment
les utilisations de clé activées Key Encipherment
.
Avertissement
La clé privée ne doit pas être déployée sur les événements de journalisation des machines. Il doit être conservé dans un emplacement sécurisé où vous déchiffrez les messages.
Déchiffrement des messages de journalisation des événements protégés
Le script suivant récupère et déchiffre les événements, en supposant que vous disposez de la clé privée :
Get-WinEvent Microsoft-Windows-PowerShell/Operational |
Where-Object Id -eq 4104 |
Unprotect-CmsMessage