Event ID 4104 : Scriptblock logging (Microsoft-Windows-PowerShell/Operational)

Ce que cet Event ID enregistre vraiment sur disque, les champs EventData à lire en premier et sa place dans un workflow de triage DFIR.

Canal: Microsoft-Windows-PowerShell/Operational
Fournisseur: Microsoft-Windows-PowerShell%4Operational
Notes de triage: Captures the script body after decoding and reflection — the highest-value PowerShell record on the system.

Guide détaillé

PowerShell Event ID 4104 expliqué : scriptblock logging pour le DFIRLire l'analyse complète →