我有一項任務,我必須從Windows安全日誌文件中提取諸如「審計失敗」&「審計成功」等信息,並計算每個例外的結果。總嘗試次數,成功次數,失敗次數和最常見的事件ID。我將.csv保存到我的桌面上以獲取信息,但我不確定如何獲得每個信息的運行總數。到目前爲止,我只導入了csv文件。在Powershell中計算日誌結果
我迄今爲止代碼:
$FileName=import-csv -Path "C:\Users\Robert\Desktop\Audit Count.csv"
$FileName | Select-Object | Format-List -Property "Keywords", "Event ID"
$AuditSuccess = "Audit Success"
$AuditSuccess.Count
嘗試Group-Object。這裏是財產EntryType分組獲得成功和失敗的計數的例子:
Get-EventLog -LogName Security | Group-Object -Property EntryType
Count Name Group
----- ---- -----
21911 FailureAudit {System.Diagnostics.EventLogEntry, System.Di...
14132 SuccessAudit {System.Diagnostics.EventLogEntry, System.Di...
我試圖重複你在上面做的事情,看看我是否在Get_EventLog後得到相同的結果--LogName安全| Group-Object -Property EntryType和我得到Get-EventLog:不允許請求的註冊表訪問。你碰巧知道這意味着什麼? – RobMore
這可能意味着您需要以管理員身份運行PowerShell,因爲標準用戶無權訪問安全日誌。 – TheMadTechnician
我嘗試這樣做,它也給我一些有用的信息。我將嘗試針對我需要的信息(例如成功,失敗等)進行量身定製。我假設我需要爲我正在查找的數據設置一些變量。這是一個開始,謝謝本傑明! $ FileName |選擇對象| Group-Object -Property「事件ID」 – RobMore
出於某種原因,我不能指定我的搜索來提供特定項目的計數,例如審計失敗 – RobMore
對'Get-EventLog'使用'-EntryType'參數。 –