$instanceFilter = ([wmiclass]"\\.\root\subscription:__EventFilter").CreateInstance()
$instanceFilter.QueryLanguage = "WQL"
$instanceFilter.Query = "select * from __instanceModificationEvent within 5 where targetInstance isa 'win32_Service'"
$instanceFilter.Name = "ServiceFilter"
$instanceFilter.EventNamespace = 'root\cimv2'
$result = $instanceFilter.Put()
$newFilter = $result.Path
$instanceConsumer = ([wmiclass]"\\.\root\subscription:LogFileEventConsumer").CreateInstance()
$instanceConsumer.Name = 'ServiceConsumer'
$instanceConsumer.Filename = "C:\test.log"
$instanceConsumer.Text = 'A change has occurred on the service: %TargetInstance.DisplayName%'
$result = $instanceConsumer.Put()
$newConsumer = $result.Path
$instanceBinding = ([wmiclass]"\\.\root\subscription:__FilterToConsumerBinding").CreateInstance()
$instanceBinding.Filter = $newFilter
$instanceBinding.Consumer = $newConsumer
$result = $instanceBinding.Put()
$newBinding = $result.Path

честно утащил с итернетов

?

События от версии Windows зависят, ибо powerShell разный.
Глубже не копал, ибо теперь не моя ветка

Конкретно про эти события не говорю

это к PS отношения иметь не должно
регистрация изменений в WMI подписках штатным трекингом у меня работала даже на семёрке

Ну, в данном случает и там, и там 5.1

Ниже сообщения

ну и оно в файлик пишет, так?

так точно

все везде идентично, кроме того, что на 12 нет событий, а на 16 есть

по своей традиции даже сисмон переустановил, а вдруг опять

но нет

в общем, конечно, нельзя исключать того, что они тупо забили на тестирование на старых версиях

Свел результаты обоих сравнений по коммерческим SOC в огромный эксель. Может еще кому пригодится для аналитики

Спасибо, Сереж

штатный трекинг это сисмон или виндовый?

Виндовый

тоже через фильтр-консьюмер сбор идет, или это какой-то etl винды?

Тоже. Логируйте в файл или эвентлог