Der Waldmeister

Einblicke in (Security)-Themen ausm tiefen Wald

Kategorie: Microsoft Defender

Große (Log-)Dateien unter Windows auslesen

von

am 24. Mai 2024

in Microsoft Defender, Powershell, Tipps

Oft steht man vor dem Problem, dass grosse Logdateien jeden Dateibetrachter wie notepad.exe in die Knie zwingen. Nimmt man eine komfortable Version eines Editors wie Notepad++, so hängt der sich auch mal gerne auf, wenn die Datei größer als 1GB wird. Was macht man nun? Wenn man beispielsweise weiß, dass man nur die letzten 500 Einträge einer zeitlich iterativen Datei sichten will, so kann man das unter Linux bekannte “tail” nutzen. Das gibt es netterweise auch unter Windows unter Zuhilfe des PowerShell-CMDlets “Get-Content”.

Will man also die letzten 500 Einträge einer Datei sichten, so gibt man folgendes ein:

Get-content -tail 500 gross.log

Will man dieses Ergebnis in einer Datei haben, so nimmt man noch ein Piping dazu, wie folgt:

Get-content -tail 500 gross.log > klein.log

Exchange Online – Quarantäne Mails löschen

von

am 13. April 2024

in Exchange Online, Microsoft Defender, Powershell

Arbeitet man innerhalb von Microsofts Exchange Online mit der Quarantäne, so wird man recht schnell feststellen, wie mühselig die GUI reagiert, immer wieder Reloads durchführt und einem das Leben zur “Hölle” machen kann. Zudem stellt man fest, dass bei dem “Freilassen” von Mails (“release”), diese weiterhin dort angezeigt werden und somit ein Ansichtsfilter von Nöten ist, den man jedes Mal wieder aufs Neue einstellen muss.

Abhilfe schafft hier die Nutzung einiger PowerShell-Scripte, die man nach Belieben für seine Zwecke anpassen kann. Denk dran, die #-Zeilen sind nur Kommentare 😉

#Zunächst verbindet man sich mit Exchange Online

Connect-ExchangeOnline

#Nun holt man sich die freigelassenen Mails

Get-QuarantineMessage -ReleaseStatus Released

Nun muss man sich alle diese Mails, die als lange Liste in der Ausgabe erscheinen, in eine Variable packen und mittels Piping nur die IDs selektieren, wie folgt:

$ids = Get-QuarantineMessage -ReleaseStatus Released | select -ExpandProperty Identity

Das ist der Grundbefehl. An dieser Stelle kann man auch weitere Filter setzen, so dass man die Art der Mails weiter eingrenzt. Dies geschieht mit der Option:

-QuarantineTypes

Das sieht dann wie folgt aus:

$ids = Get-QuarantineMessage -QuarantineTypes Phish -ReleaseStatus Released | select -ExpandProperty Identity

Hier gibt es dann folgende Optionen:

Malware

Phish

Spam

HighConfPhish

Bulk

Präsentiert von WordPress & Theme erstellt von Anders Norén