Event ID 4104: Scriptblock logging (Microsoft-Windows-PowerShell/Operational)

Lo que este Event ID realmente registra en disco, los campos EventData a leer primero y su lugar en un flujo de triage DFIR.

Canal: Microsoft-Windows-PowerShell/Operational
Proveedor: Microsoft-Windows-PowerShell%4Operational
Notas de triage: Captures the script body after decoding and reflection — the highest-value PowerShell record on the system.

Guía detallada

PowerShell Event ID 4104 explicado: logging de scriptblock para DFIRLeer el análisis completo →