![見出し画像](https://assets.st-note.com/production/uploads/images/123014924/rectangle_large_type_2_aeff0750a0a8e07f88adba5a53efad32.png?width=1200)
PowerShell 操作履歴を取得する
PowerShellの操作ログのパスは以下を実行すると出てくる
(Get-PSReadlineOption).HistorySavePath
![](https://assets.st-note.com/img/1701259214652-zfYxEaaORq.png?width=1200)
操作履歴を全部見るにはcatコマンドと組み合わせます
cat (Get-PSReadlineOption).HistorySavePath
操作履歴を少しずつ見るにはmoreに渡します
cat (Get-PSReadlineOption).HistorySavePath | more
おまけ 独り言
10年位前に社内SEとして勤めていた会社でこんなことがありました。
ある日からデータが消えたり、アカウントが丸ごと消えたりすることが頻発しました。昨日入力したデータやプログラムが翌日に消えたり、昼休み食事から帰ってきたらシステムにログインできなくなったりです。
サーバの操作履歴を見ると変なことをしている人がいることが分かり、
それを指摘したら次からは履歴そのものも消えるようになりました。
他にも被害にあっている人がいて、何人も退職していく中で3,4年戦いましたが決定的な証拠を掴めず、ずっと仕事ができない状態でした。
なにが言いたいのかと言うと、
「悪いことをする人には操作履歴は有っても無くても同じ」
ってことです。
システムを使って変なことをする人はだいたいはSEですから操作履歴を消すことくらい簡単ですからね。なんなら都合の良いように改竄だって出来る。
情報持出事件で「何年も分からなかった」ってあるじゃないですか、
ああいうのは、たぶん分かっていたけど証拠がない。
証拠を消した操作履歴は残っているけど証拠自体がない。
そんな状態で何年もかかったっていうやつじゃないでしょうか
しらんけど
この記事が気に入ったらサポートをしてみませんか?