我想获取在给定时间范围内以管理员身份运行的所有命令的报告。我错误地以管理员身份进行了一些更改(例如移动文件等),我想在切换到正常模式之前准确获取我在该模式下运行的命令列表。
肯定有日志文件之类的东西 - 也许使用 sysinternals 套件中的某些工具?我对 Windows 还不熟悉,所以任何帮助我都会很感激
提前致谢
答案1
我想要获得所有运行命令的报告
我能想到的唯一办法就是你仍然保持 PowerShell 会话打开。然后你可以运行Get-History:
该
Get-Historycmdlet 获取会话历史记录,即当前会话期间输入的命令列表。
来源:Get-History (Microsoft.PowerShell.Core) - PowerShell | Microsoft 学习
如果您已经关闭了会话那么我认为您运气不佳。
答案2
您可以尝试检查它是否在:
C:\Users\[user]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
或者:
%APPDATA%\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
在环境变量的帮助下。
据我所知,它记录了 Powershell 5-7,不确定其他版本。不过没有时间戳。