个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
27
4
我如何只能写输出:
Get-WinEvent -ComputerName DS1 -LogName Security -FilterXPath "*[System[EventID=4670 and TimeCreated[timediff(@SystemTime) <= 86400000]] and EventData[Data[@Name='ObjectType']='File']]" | fl
最佳答案
我无法测试您的过滤器是否真的可以工作,总线假设还可以,您这里有两个选择。
Message部分)
$filter = "*[System[EventID=4670 and TimeCreated[timediff(@SystemTime) <= 86400000]] and EventData[Data[@Name='ObjectType']='File']]"
$result = Get-WinEvent -ComputerName DS1 -LogName Security -FilterXPath $filter | ForEach-Object {
# convert the event to XML and grab the Event node
$eventXml = ([xml]$_.ToXml()).Event
$eventData = $eventXml.EventData.Data
# output the properties you need
[PSCustomObject]@{
TimeCreated = [DateTime]$eventXml.System.TimeCreated.SystemTime
AccountName = ($eventData | Where-Object { $_.Name -eq 'SubjectUserName' }).'#text'
AccountDomain = ($eventData | Where-Object { $_.Name -eq 'SubjectDomainName' }).'#text'
ObjectType = ($eventData | Where-Object { $_.Name -eq 'ObjectType' }).'#text'
ObjectName = ($eventData | Where-Object { $_.Name -eq 'ObjectName' }).'#text'
Computer = $eventXml.System.Computer
}
}
# output on screen
$result
# output to CSV file
$result | Export-Csv -Path 'X:\TheOutputFile.csv' -NoTypeInformation
关于windows - Powershell过滤来自Get-WinEvent的输出数据,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/61284142/
27
4
0
当我运行以下命令按 ID 列出日志时,它显示 Get-WinEvent : No events were found that match the specified selection criter
我一直在到处寻找,只是想弄清楚这个“级别”意味着运行 Get-WinEvent。 例如, Get-WinEvent –FilterHashtable @{logname=’application’;
我的 Qt 有点问题,这是我的代码: SessionSnatcher.h: #ifndef SESSIONSNATCHER_H #define SESSIONSNATCHER_H #include
当我运行下面的脚本来检索日志文件时,get-winevent“消息”字段是空白的,但如果我运行 get-eventlog 有数据。任何想法为什么? #has message data Get-Even
这项工作对我来说: Get-WinEvent -FilterHashTable @{Logname = "ForwardedEvents" ; ID = 4625,4740} (...我期望的结果..
我试图让这个 PS 脚本从多台机器上提取安全日志,并且只搜索事件 ID 4624,并且只显示包含“登录类型:2”或交互式登录的日志。除了仅获取那些仅用于交互式登录的日志的部分外,我还有其他所有工作。这
get-winevent 开始和结束日期不是过滤记录。谁能告诉我为什么?我期望从最近 2 天事件下面的代码中获得数据,但我得到的日期可以追溯到 2010 年(我的 Windows 时钟日期是正确的)
我试图在 Qt 中获取鼠标单击事件,此鼠标单击必须是全局的,并且即使鼠标不在我的应用程序窗口上也必须接收,我在这些链接中看到: Receive WM_COPYDATA messages in a Qt
我正在尝试查询 DNS 日志以查看哪台本地计算机请求了包含 38.93.53.202-in-addr.arpa-nettlinx.com 的网站地址。我不知道这将在日志中采用什么形式,使用事件日志进行
我对服务器有非管理员权限。我被允许通过 RDP 连接,并使用 PowerShell 远程处理。当我从 RDP session 调用以下 PowerShell 命令时: Get-WinEvent -Ma
我正在尝试查找在服务器上卸载程序的用户。这是我正在使用的脚本和结果。从事件查看器中,我能够看到用户,但看起来 Get-WinEvent 返回 UserId 但没有用户名。有没有办法从 Get-WinE
我正在尝试从 get-winevent 命令中获取一些(高级?)属性。 我正在处理 Windows-Server-Backup 事件。 我可以获得属性的数据和 xml 模板,但我看不到将它们干净地结合
我的Qt 应用程序是从外部设备读取数据,分析它,然后将结果显示在屏幕上。因为我需要使用 GUI,所以我选择了 Qt 而不是 Winforms。我不知道该设备只能处理 Windows 消息。该设备带有静
我想做什么? 我使用 -FilterHashTable 运行 Get-WinEvent 函数,为 ID 参数提供一组有趣的事件 ID。 $IDS = 4720,4722,4723,4724,4725,
我使用 ::winEvent() 方法来监听 Windows 上的系统级通知。在 Qt5 中,这个方法不再存在;所以我的应用程序没有收到任何关于添加/删除设备的系统级消息。 最佳答案 事实证明,QWi
在特定日期后检索事件时 Get-WinEvent 似乎比 Get-EventLog 慢: $SourceComputer = "MyServer" $LogName = "Security" $Sta
我正在按时间顺序从事件日志中抓取一些事件 不想管道到哪里 想使用 get-winevent 在我获得 Event1 之后,我需要获得另一个事件的第一个实例,该事件发生在 Event1 之后的某个未知时
我正在尝试从 get-winevent cmdlet 的消息输出中提取特定行,但未能找到执行此操作的方法(我可能搜索不正确,但仍在学习更高级的脚本方法)。我正在运行的是: Get-WinEvent -
我想在鼠标光标下获取单词,但是当用户在任何窗口中单击鼠标右键时,会出现默认的窗口上下文菜单,我如何才能防止在 Qt 的 winEvent 中显示默认的窗口上下文菜单? bool EventReceiv
是否可以在不重新实现 QWidget::winEvent 的情况下拦截 QWidget 的 Win 消息?是否有类似 installEventFilter 但适用于 Windows 本地消息的东西?
我是一名优秀的程序员,十分优秀!