Registro de Log de PowerShell
En el Working Log y en los Logs de Acceso pueden registrarse los comandos PowerShell ejecutados desde un script, una aplicación o por un usuario.
1. Para habilitar el registro en las máquinas, es necesario crear algunas claves en el Registro (Regedit) en la siguiente ruta: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
2. Crear la clave “PowerShell” y, dentro de ella, las siguientes subclaves: Module-Logging e ModuleNames.
3. Dentro de ModuleLogging crear un valor DWORD llamado “EnableModuleLogging” con valor 1.
4. Dentro de ModuleNames crear un valor de tipo cadena con nombre y valor: "Microsoft.PowerShell.*".
Estas claves deben generarse mediante GPO, para poder distribuirlas en todas las máquinas:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging] "EnableModuleL-ogging"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging\Modu leNames]
"Microsoft.PowerShell.*"="Microsoft.PowerShell.*"
Atención:
Si en su red está presente el software NinjaOne, es posible que se generen millones de líneas de log, con un consiguiente aumento significativo del tamaño de la base de datos.
En este caso, se recomienda deshabilitar el registro de PowerShell, ya que podría afectar negativamente al rendimiento de la aplicación.