clink là tốt đẹp và tác giả xuất bản một gói sô cô la trên mỗi bản phát hành, tuy nhiên tôi sẽ đề nghị DeepBlueCLI.
Bạn có thể sử dụng https://github.com/sans-blue-team/DeepBlueCLI để thiết lập ID sự kiện bảo mật Windows 4688.
Đối với PowerShell, DeepBlueCLI cũng sử dụng ghi nhật ký mô-đun (sự kiện PowerShell 4013) và ghi nhật ký khối tập lệnh (4104). Nó không sử dụng phiên âm.
Lợi ích được thêm vào là nó ghi nhật ký băm của dòng lệnh exe trong nhật ký sự kiện AppLocker. Nguồn: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/component-updates/command-line- process-auditing
Ngoài ra, vì giải pháp này sử dụng cơ sở hạ tầng Windows Event Log, bạn có thể truy vấn nó thông qua WMI hoặc PowerShell Get-EventLog
. Với clink, bạn phải tìm hiểu một công cụ khác để phát hiện các kiểu hành vi trên toàn hệ thống hoặc mạng.
doskey exit=doskey /history ^>^> C:\path\to\cmdhistory.log $T exit $*
nhưng bạn sẽ cần tìm ra cách thực hiện điều này tự động tại mỗi lần khởi động phiên nhắc lệnh. PS: Đảm bảo đường dẫn của tệp nhật ký có thể ghi.C:\
không thể ghi đối với dấu nhắc lệnh không phải của quản trị viên.