标签: monitoring - 叹为观止

2025-04-28发表2025-04-28更新powershell / tip24 分钟读完 (大约3555个字)

适用于 PowerShell 7.0 及以上版本

在编写生产级 PowerShell 脚本时，错误处理和日志记录往往是最容易被忽视、却又最为关键的环节。一段没有错误处理的脚本，在遇到网络超时、文件缺失或权限不足时，要么静默失败导致后续逻辑产生难以排查的连锁错误，要么直接崩溃让整个自动化流程中断。而缺乏日志的脚本则如同”黑盒”——出了问题只能靠猜测，无法追溯根因。

PowerShell 提供了丰富的错误处理机制，从基础的 $ErrorActionPreference 到完善的 try/catch/finally 结构，再到自定义错误记录和结构化日志输出。本文将系统性地介绍这些机制，并给出带重试逻辑的健壮脚本模板，帮助你在生产环境中写出更可靠的自动化代码。

2025-04-24发表2025-04-24更新powershell / tip20 分钟读完 (大约2986个字)

PowerShell 技能连载 - 文件系统变更监控

适用于 PowerShell 7.0 及以上版本（Windows）

2025-04-22发表2025-04-22更新powershell / tip16 分钟读完 (大约2382个字)

PowerShell 技能连载 - 系统性能监控实战

适用于 PowerShell 7.0 及以上版本

在服务器运维和 DevOps 实践中，系统性能监控是保障业务稳定运行的基石。无论是排查突发的性能抖动，还是进行容量规划和趋势分析，都需要一套可靠的监控手段。传统的 GUI 工具（如任务管理器、perfmon）虽然直观，但不适合自动化场景和大规模服务器管理。

PowerShell 提供了对 WMI/CIM 类、.NET 性能计数器和系统 API 的完整访问能力，让我们可以用脚本化的方式采集、分析和导出系统性能数据。本文将介绍如何使用 PowerShell 构建一套实用的系统性能监控方案，涵盖 CPU、内存、磁盘、进程、网络等关键指标。

2025-04-08发表2025-04-08更新powershell / tip9 分钟读完 (大约1368个字)

PowerShell 技能连载 - Windows 事件日志分析

适用于 PowerShell 5.1 及以上版本

Windows 事件日志是排查系统问题、监控安全事件的重要数据源。无论是排查服务崩溃、追踪登录失败，还是审计权限变更，事件日志都记录着关键的操作痕迹。传统的”事件查看器”图形界面虽然直观，但面对大规模日志筛选和批量分析时效率极低。

PowerShell 提供了强大的事件日志查询能力，可以像操作数据库一样对日志进行精确筛选和统计。本文将介绍如何使用 Get-WinEvent 高效查询事件日志，以及如何构建自动化的日志分析脚本。

2025-02-24发表2025-02-24更新powershell / ai2 分钟读完 (大约245个字)

PowerShell 技能连载 - 智能日志分析与模式识别

function Invoke-AILogAnalysis {
    [CmdletBinding()]
    param(
        [Parameter(Mandatory=$true)]
        [string]$LogPath,
        
        [ValidateSet('Classification','Anomaly')]
        [string]$AnalysisType = 'Classification'
    )

    $analysisReport = [PSCustomObject]@{
        Timestamp = Get-Date -Format 'yyyy-MM-dd HH:mm:ss'
        TotalEntries = 0
        DetectedPatterns = @()
        ModelAccuracy = 0
    }

    try {
        # 加载预训练机器学习模型
        $model = Import-MLModel -Path "$PSScriptRoot/log_analysis_model.zip"

        # 预处理日志数据
        $logData = Get-Content $LogPath | 
            ConvertFrom-LogEntry -ErrorAction Stop |
            Select-Object TimeGenerated, Message, Level

        $analysisReport.TotalEntries = $logData.Count

        # 执行AI分析
        $predictions = switch($AnalysisType) {
            'Classification' {
                $logData | Invoke-MLClassification -Model $model
            }
            'Anomaly' {
                $logData | Invoke-MLAnomalyDetection -Model $model
            }
        }

        # 生成检测报告
        $analysisReport.DetectedPatterns = $predictions | 
            Where-Object { $_.Probability -gt 0.7 } |
            Select-Object LogMessage, PatternType, Probability

        # 计算模型准确率
        $analysisReport.ModelAccuracy = ($predictions.ValidationScore | Measure-Object -Average).Average
    }
    catch {
        Write-Error "日志分析失败: $_"
    }

    # 生成智能分析报告
    $analysisReport | Export-Csv -Path "$env:TEMP/AILogReport_$(Get-Date -Format yyyyMMdd).csv"
    return $analysisReport
}

核心功能：

机器学习模型集成调用
日志数据智能分类与异常检测
预测结果概率分析
模型准确率动态计算

应用场景：

IT运维日志模式识别
安全事件自动化检测
系统故障预测分析
日志数据质量评估

2024-12-19发表2024-12-19更新powershell / iot / automation2 分钟读完 (大约232个字)

PowerShell 技能连载 - 边缘计算环境中的IoT设备监控

function Get-IoTEdgeDeviceStatus {
    [CmdletBinding()]
    param(
        [Parameter(Mandatory=$true)]
        [string]$DeviceIPRange,
        
        [ValidateRange(1,65535)]
        [int]$PollingInterval = 300
    )

    $deviceReport = [PSCustomObject]@{
        Timestamp = Get-Date -Format 'yyyy-MM-dd HH:mm:ss'
        OnlineDevices = @()
        OfflineDevices = @()
        AbnormalMetrics = @()
    }

    # 执行Ping扫描发现设备
    $discoveredDevices = Test-Connection -ComputerName $DeviceIPRange -Count 1 -AsJob |
        Wait-Job | Receive-Job |
        Where-Object { $_.StatusCode -eq 0 } |
        Select-Object Address,ResponseTime

    # 获取设备遥测数据
    $discoveredDevices | ForEach-Object {
        try {
            $metrics = Invoke-RestMethod -Uri "http://$($_.Address)/metrics" -TimeoutSec 5
            
            $deviceReport.OnlineDevices += [PSCustomObject]@{
                IPAddress = $_.Address
                Latency = $_.ResponseTime
                CPUUsage = $metrics.cpu_usage
                MemoryUsage = $metrics.memory_usage
            }

            if($metrics.cpu_usage -gt 90 -or $metrics.memory_usage -gt 85) {
                $deviceReport.AbnormalMetrics += [PSCustomObject]@{
                    IPAddress = $_.Address
                    Metric = ($metrics | ConvertTo-Json)
                    Threshold = "CPU >90% 或 Memory >85%"
                }
            }
        }
        catch {
            $deviceReport.OfflineDevices += $_.Address
        }
    }

    # 生成HTML报告
    $reportPath = "$env:TEMP/IoTEdgeReport_$(Get-Date -Format yyyyMMdd).html"
    $deviceReport | ConvertTo-Html -Title "IoT设备健康报告" | Out-File $reportPath
    return $deviceReport
}

核心功能：

工业设备自动发现与状态采集
设备资源使用率实时监控
异常阈值自动预警
HTML格式可视化报告

应用场景：

智能制造设备监控
能源行业传感器网络
智慧城市基础设施
远程设备维护预警

2024-10-16发表2024-10-16更新powershell / security / automation1 分钟读完 (大约198个字)

PowerShell 技能连载 - 零信任架构下的设备健康检查

function Invoke-DeviceHealthCheck {
    [CmdletBinding()]
    param(
        [Parameter(Mandatory=$true)]
        [string]$DeviceName
    )

    $healthReport = [PSCustomObject]@{
        Timestamp = Get-Date -Format 'yyyy-MM-dd HH:mm:ss'
        Device = $DeviceName
        TPMEnabled = $false
        SecureBoot = $false
        AntivirusStatus = 'Unknown'
        ComplianceScore = 0
    }

    try {
        # 检查TPM状态
        $tpm = Get-Tpm -ErrorAction Stop
        $healthReport.TPMEnabled = $tpm.TpmPresent

        # 验证安全启动状态
        $healthReport.SecureBoot = Confirm-SecureBootUEFI

        # 获取反病毒状态
        $avStatus = Get-MpComputerStatus
        $healthReport.AntivirusStatus = $avStatus.AMServiceEnabled ? 'Active' : 'Inactive'

        # 计算合规分数
        $compliance = 0
        if($healthReport.TPMEnabled) { $compliance += 30 }
        if($healthReport.SecureBoot) { $compliance += 30 }
        if($healthReport.AntivirusStatus -eq 'Active') { $compliance += 40 }
        $healthReport.ComplianceScore = $compliance
    }
    catch {
        Write-Warning "设备健康检查失败: $_"
    }

    $healthReport | Export-Clixml -Path "$env:TEMP/DeviceHealth_$DeviceName.xml"
    return $healthReport
}

核心功能：

TPM芯片状态验证
安全启动模式检测
反病毒服务状态监控
自动化合规评分

应用场景：

零信任架构准入控制
远程办公设备安全审计
合规性基线验证
安全事件响应前置检查

2024-09-16发表2024-09-16更新powershell / security1 分钟读完 (大约208个字)

PowerShell 技能连载 - 基于ATT&CK框架的进程行为分析

function Invoke-ProcessBehaviorAnalysis {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipeline=$true)]
        [string]$ComputerName = $env:COMPUTERNAME
    )

    $techniques = Invoke-RestMethod -Uri 'https://attack.mitre.org/api/techniques/'
    $processes = Get-CimInstance -ClassName Win32_Process -ComputerName $ComputerName

    $report = [PSCustomObject]@{
        Timestamp = Get-Date -Format 'yyyy-MM-dd HH:mm:ss'
        SuspiciousProcesses = @()
        MITRETechniques = @()
    }

    $processes | ForEach-Object {
        $behaviorScore = 0
        $matchedTechs = @()

        # 检测隐藏进程
        if ($_.ParentProcessId -ne 1 -and -not (Get-Process -Id $_.ParentProcessId -ErrorAction SilentlyContinue)) {
            $behaviorScore += 20
            $matchedTechs += 'T1055'  # Process Injection
        }

        # 检测异常内存操作
        if ($_.WorkingSetSize -gt 1GB) {
            $behaviorScore += 15
            $matchedTechs += 'T1056'  # Memory Allocation
        }

        if ($behaviorScore -gt 25) {
            $report.SuspiciousProcesses += [PSCustomObject]@{
                ProcessName = $_.Name
                ProcessId = $_.ProcessId
                Score = $behaviorScore
                CommandLine = $_.CommandLine
            }
            $report.MITRETechniques += $matchedTechs | Select-Object @{n='TechniqueID';e={$_}}, @{n='Description';e={$techniques.techniques.Where{$_.id -eq $_}.name}}
        }
    }

    $report | ConvertTo-Json -Depth 3 | Out-File "$env:TEMP/ProcessAnalysis_$(Get-Date -Format yyyyMMdd).json"
    return $report
}

核心功能：

ATT&CK技术特征匹配
进程行为异常评分
自动化威胁检测
JSON报告生成

典型应用场景：

企业终端安全监控
红队攻击痕迹分析
蓝队防御策略验证
安全事件快速响应

2024-05-20发表2024-05-20更新powershell / security2 分钟读完 (大约246个字)

PowerShell 技能连载 - 零信任架构设备健康检查

function Invoke-DeviceHealthCheck {
    [CmdletBinding()]
    param(
        [ValidateSet('Basic','Full')]
        [string]$ScanLevel = 'Basic'
    )

    $healthReport = [PSCustomObject]@{
        Timestamp     = Get-Date -Format 'yyyy-MM-dd HH:mm:ss'
        DeviceID      = (Get-CimInstance -ClassName Win32_ComputerSystem).Name
        Compliance    = $true
        SecurityScore = 100
        Findings      = @()
    }

    # 基础检查项
    $checks = @(
        { Get-CimInstance -ClassName Win32_BIOS | Select-Object Version,ReleaseDate },
        { Get-WindowsUpdateLog -Last 7 | Where Status -ne 'Installed' },
        { Get-NetFirewallProfile | Where Enabled -eq $false }
    )

    if ($ScanLevel -eq 'Full') {
        $checks += @(
            { Get-Service -Name WinDefend | Where Status -ne 'Running' },
            { Get-ChildItem 'C:\Temp' -Recurse -File | Where {$_.LastWriteTime -gt (Get-Date).AddDays(-1)} },
            { Get-LocalUser | Where PasswordNeverExpires -eq $true }
        )
    }

    foreach ($check in $checks) {
        try {
            $result = & $check
            if ($result) {
                $healthReport.Findings += [PSCustomObject]@{
                    CheckName = $check.ToString().Split('{')[1].Trim()
                    Status    = 'NonCompliant'
                    Details   = $result | ConvertTo-Json -Compress
                }
                $healthReport.SecurityScore -= 10
                $healthReport.Compliance = $false
            }
        }
        catch {
            Write-Warning "检查项执行失败: $_"
        }
    }

    $healthReport | Export-Clixml -Path "$env:TEMP\DeviceHealthReport_$(Get-Date -Format yyyyMMdd).xml"
    return $healthReport
}

核心功能：

多层级设备健康扫描（基础/完整模式）
实时安全态势评分机制
自动化合规性验证
XML格式审计报告生成

典型应用场景：

企业设备入网前合规检查
零信任架构下的持续设备验证
远程办公终端安全审计
安全基线的快速验证

链接

最新文章

归档

标签

分类