PowerShell Ripple-Praxis: Incident Triage
Führen Sie zweistufige Protokoll- und Prozess-Triage-Pipelines mit wiederholbarer Ausgabe auf Bedienerebene aus.
Interaktive Lektion starten
PowerShell Ripple-Praxis: Incident Triage
Diese Schlusssteinpraxis validiert die Übertragung, nicht das Auswendiglernen. Sie isolieren zunächst relevante Protokolle und führen dann eine gezielte Prozessabfrage aus, um den Triage-Kontext abzuschließen.
Befehle zum Üben
Get-ChildItem | Where-Object {$_.Extension -eq '.log'} | Select-Object Name
Get-Process | Where-Object {$_.Name -eq 'pwsh'} | Select-Object Name, Memory
Erwartetes Terminalsignal
Sie sollten eine kompakte Protokollliste und eine fokussierte Prozesszeile sehen:
app.log
error.log
pwsh 220
Warum das wichtig ist
Vorfälle erfordern sowohl Artefaktfilterung als auch Prozesskontext. Dieses zweistufige Muster schafft eine schnelle Grundlage für die Eskalations- und Sanierungsplanung.
Häufige Fehler
- Führen Sie Prozessprüfungen durch, bevor Sie bestätigen, dass relevante Dateien vorhanden sind.
- Vergessen Sie die Projektion, die das Scannen der Ausgabe erschwert.
- Teilausgabe als vollständige Triage behandeln.
Übungserweiterung
Schweregrad-Slicing hinzufügen:
Get-ChildItem | Where-Object {$_.Extension -eq '.log'} | Select-Object Name
Get-Process | Where-Object {$_.Memory -gt 100} | Sort-Object Memory -Descending | Select-Object Name, Memory
Wiederholen Sie diesen Vorgang, bis Sie beide Phasen ohne eine aufforderungsgesteuerte Anleitung sauber ausführen können.
Quellen
Diese Links zu Microsoft Learn und der Windows-Dokumentation liefern verlässliche Details zu den in diesem Artikel verwendeten Befehlen.