ในสภาพแวดล้อมขององค์กรขนาดใหญ่ที่มีผู้ดูแลระบบหลายรายมักจำเป็นต้องกำหนดว่าผู้ใช้ติดตั้งหรือถอนการติดตั้งโปรแกรมบนเซิร์ฟเวอร์ Windows หรือเวิร์กสเตชันที่เฉพาะเจาะจง ลองสำรวจวิธีการดึงข้อมูลจากบันทึกการดูเหตุการณ์ Windows เพื่อระบุผู้ใช้เฉพาะที่เริ่มการติดตั้งหรือลบโปรแกรม
เมื่อคุณติดตั้งหรือถอนการติดตั้งแอพ Windows คลาสสิกโดยใช้ตัวติดตั้ง MSIMsiInstallerเหตุการณ์ที่เขียนไว้ในบันทึกการดูเหตุการณ์
- 11707- รหัสเหตุการณ์ของการติดตั้งแอพ MSI ที่ประสบความสำเร็จ
- 11724- เหตุการณ์การกำจัดแอพ MSI
เปิดคอนโซลบันทึกเหตุการณ์ Event Viewer (eventvwr.msc) และกรองสำหรับเหตุการณ์ที่มี IDS11707และ11724ในแอปพลิเคชันบันทึก. รายการของการติดตั้งโปรแกรมและกิจกรรมการลบจะปรากฏขึ้น ชื่อของโปรแกรมที่ติดตั้งหรือลบรวมอยู่ในคำอธิบายเหตุการณ์ ตัวอย่างเช่น:
Product: Zabbix Agent 2 (64-bit) -- Removal completed successfully.
Product: 7-Zip 24.09 (x64 edition) -- Installation completed successfully.
ชื่อของผู้ใช้ที่ติดตั้งหรือถอนการติดตั้งแอพสามารถพบได้ใน“ผู้ใช้” ทรัพย์สินของเหตุการณ์
คุณสามารถใช้ PowerShell เพื่อค้นหากิจกรรมการติดตั้งและถอนการติดตั้งทั้งหมดอย่างรวดเร็วสำหรับโปรแกรมเฉพาะ สคริปต์ต่อไปนี้จะส่งออกการติดตั้ง Agent Zabbix ทั้งหมดหรือการลบเหตุการณ์บนเซิร์ฟเวอร์รวมถึงชื่อของผู้ใช้ที่ดำเนินการเหล่านี้
Get-WinEvent -FilterHashtable @{LogName="Application"; ID=11707,11724; ProviderName="MsiInstaller"} | Where-Object { $_.Message -like '*Zabbix*' } | Select TimeCreated, @{Name="Username"; Expression={(New-Object System.Security.Principal.SecurityIdentifier($_.userid)).Translate([System.Security.Principal.NTAccount]).Value}}, Message
ตั้งแต่useridฟิลด์มี SID ของผู้ใช้สคริปต์แปลงเป็นชื่อบัญชี
ที่การตรวจสอบความน่าเชื่อถือนอกจากนี้ยังให้ข้อมูลเกี่ยวกับกิจกรรมการติดตั้งและการลบโปรแกรม โพสต์นี้ให้คำอธิบายโดยละเอียดเกี่ยวกับวิธีการดูประวัติการติดตั้งและการกำจัดแอพใน Windows
ที่เกี่ยวข้อง:
