Чтобы просмотреть события аудита, выполните следующие действия:
Import-Module '<полный путь к папке установки программы>\Enterprise.Automation.dll'. Библиотека Enterprise.Automation подключится и будет доступна для использования. Если библиотека была подключена ранее, пропустите этот шаг.
Get-Log.Программа запросит пароль доступа. Если пароль доступа не установлен, выполнение команды будет прекращено.
В среде Windows PowerShell отобразится список всех событий, сохраненных в журнале событий аудита.
Вы можете работать со списком событий с помощью следующих параметров команды Get-Log.
Этот параметр позволяет находить события, записи о которых содержат заданный текст. Например, Get-Log -Filter "удален". При выполнении этой команды в среде PowerShell отобразятся события, в записях которых содержится слово "удален", например, события, связанные с удалением объекта во время антивирусной проверки.
Этот параметр позволяет сортировать события по времени их возникновения. Например, Get-Log -Sorting descending. В среде PowerShell отобразятся события, начиная с последнего сохраненного события. По умолчанию при выполнении команды Sorting события отображаются, начиная с первого сохраненного события.
Параметр Format-Table позволяет отображать события, сохраненные в журнале событий аудита, в среде PowerShell в виде таблицы. Например, Get-Log | ft.
Вы можете использовать несколько параметров в одной команде. Например, Get-Log -Sorting descending -Filter "запуск" | ft.