Event ID 4104: Scriptblock logging（Microsoft-Windows-PowerShell/Operational）

この Event ID がディスクに実際に記録する内容、最初に確認すべき EventData フィールド、DFIR トリアージの中での位置付けを解説します。

チャネル: Microsoft-Windows-PowerShell/Operational
プロバイダ: Microsoft-Windows-PowerShell%4Operational
トリアージメモ: Captures the script body after decoding and reflection — the highest-value PowerShell record on the system.

詳細ガイド

PowerShell Event ID 4104 を解読する:DFIR のためのスクリプトブロックロギング詳細な解説を読む →