从事件查看器读取AppLocker的安全事件

Question

在C#中，是否有方法从事件查看器读取AppLocker (位于应用程序和服务日志/Microsoft/Windows/Applocker)应用程序的安全事件？

EventLogWatcher无法订阅此应用程序的传入事件。

我正面临着与这里提到的问题完全相同的问题：Subscribe to Non System (Custom) Events in an Event Log

Answer 1

1. Windows事件日志中的(a)事件日志和(b)通道之间存在差异

https://learn.microsoft.com/en-us/previous-versions//aa385225(v=vs.85)

1. “Microsoft AppLocker/EXE和DLL”是一个通道
2. 使用类EventLogWatcher在通道中捕获事件

https://learn.microsoft.com/en-us/dotnet/api/system.diagnostics.eventing.reader.eventlogwatcher

C#上的样本：

    var bbb = new EventLogWatcher("Microsoft-Windows-AppLocker/EXE and DLL");
    bbb.EventRecordWritten += Bbb_EventRecordWritten;
    bbb.Enabled = true;

..。

        private void Bbb_EventRecordWritten(object sender, EventRecordWrittenEventArgs e)
        {
            var eventAsXml = e.EventRecord.ToXml();
            var eventAsString = e.EventRecord.FormatDescription();
        }

Answer 2

我想加上这个作为评论，但我没有代表。下面是我们在一些报告中用来获取这些事件的powershell。

“/EXE和DLL”{ $.Id -eq 8003 -or $.Id -eq 8004 }x ForEach-Object {}