Ecco il link al documento di due pagine:
http://www.microsoft.com/en-us/download/details.aspx?id=7097
Supponiamo che vogliamo monitorare un server.
La via piu’ semplice per verificare i processi o servizi è, come nel post (….) utilizzare la funzione Export-Clixml che lo esporta in formato XML
Get-Process | Export-Clixml -Path \\hyperv1\shared\forensics\EDPROC.XML
Get-Service | Export-Clixml -Path \\hyperv1\shared\forensics\EDService.XML
Date due Snapshot si può usare il seguente comando per i confronti:
$edproc = Import-Clixml -Path \\hyperv1\shared\Forensics\EDPROC.XML
$edproc1 = Import-Clixml -Path \\hyperv1\shared\Forensics\EDPROC1.XML
Compare-Object $edproc $edproc1 -Property processname
Se uno invece vuole contare il numero di modifiche occorse si usa il comando:
Compare-Object $edproc $edproc1 -Property processname | group sideindicator
Siccome stiamo lavorando su un file in Rich Format e non testo per ottenere maggiori info si può usare il seguente comando:
$edproc1 | where { $_.processname -eq 'notepad'} | fl *
Per avere maggiori informazioni in merito:
Visto che ci possono essere informazioni interessanti si usa il comando seguente:
$notepad = $edproc1 | where { $_.processname -eq 'notepad'}
$notepad.Threads
Che da il seguente output
