Registro Log PowerShell
Nella Working Log e nei Log Accessi possono venire registrati i comandi Powershell emessi da uno script, da un applicativo o da un utente:
1. Per attivare la registrazione nelle macchine sono necessarie alcune chiavi nel Registy (Regedit), in Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
2. Create la chiave “PowerShell” e subito sotto, altre 2 chiavi: Module-Logging e ModuleNames.
3. Dentro a ModuleLogging create una DWORD “EnableModuleLogging” con valore 1.
4. Nella ModuleNames create una stringa con etichetta e valore: "Microsoft.PowerShell.*".
Queste chiavi vanno generate da GPO, in modo da distribuirle su tutte le macchine:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging] "EnableModuleL-ogging"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging\Modu leNames]
"Microsoft.PowerShell.*"="Microsoft.PowerShell.*"
ATTENZIONE:
Se nella vostra rete è presente il software NinjaOne, è possibile che vengano generati diversi milioni di righe di log, con un conseguente aumento significativo delle dimensioni del database.
In questo caso si sconsiglia l’utilizzo dei log in PowerShell, poiché potrebbe incidere negativamente sulle prestazioni dell’applicativo.