Contents

Windowsにプログラムをインストールまたは削除したユーザーを検出する方法

Contents

/images/software-installation-removal-events-in-windows.png

複数の管理者がいる大規模なエンタープライズ環境では、特定のWindowsサーバーまたはワークステーションでプログラムをインストールまたはアンインストールしたユーザーを決定する必要があることがよくあります。 Windowsイベントビューアーログから情報を抽出して、プログラムのインストールまたは削除を開始した特定のユーザーを特定する方法を調べましょう。

MSIインストーラーを使用してクラシックウィンドウアプリをインストールまたはアンインストールすると、対応する「MSIINSTALLER」イベントは、イベントビューアーログに記述されます。

  • 11707

MSIアプリのインストールが成功したイベントコード。

  • 11724

MSIアプリの削除イベント

イベントビューアーイベントログコンソール( eventVwr.msc)を開き、アプリケーションログにID 11707および11724を備えたイベントをフィルタリングします。プログラムのインストールと削除イベントのリストが表示されます。インストールまたは削除されたプログラムの名前は、イベントの説明に含まれています。例えば:


Product: Zabbix Agent 2 (64-bit) -- Removal completed successfully.


Product: 7-Zip 24.09 (x64 edition) -- Installation completed successfully.

アプリをインストールまたはアンインストールしたユーザーの名前は、イベントの「ユーザー」プロパティにあります。

/images/software-installation-removal-events-in-windows.png.webp

PowerShellを使用して、特定のプログラムのすべてのインストールおよびアンインストールイベントをすばやく見つけることができます。次のスクリプトでは、これらのアクションを実行したユーザーの名前を含む、サーバーにすべてのZabbixエージェントのインストールまたは削除イベントを出力します。

`get-winevent-filterhashtable @{logname =" application “; ID = 11707,11724; providername = ‘msiinstaller’} | where-object {$ _。message-like ‘zabbix'} | TimeCreated、 @{name = ‘username’;を選択します。 expression = {(new-Object System.security.principal.securityidentifier($_。userid))

/images/powershell-script-find-out-which-user-removed-or.png.webp

useridフィールドには

フィールドにはユーザーのSIDが含まれているため、スクリプトはそれをアカウント名に変換します。

信頼性モニターは、プログラムのインストールおよび削除イベントに関する情報も提供します。この投稿は、Windowsのアプリのインストールと削除履歴を表示する方法の詳細な説明を提供します。

*÷ソースリンク:

Get-WineVent、、ユーザーのSID、Windowsでのアプリのインストールと削除履歴の表示方法、