get-winevent

0熱度

2回答

使用PowerShell提取登錄/註銷事件

我需要從Windows 7工作站中提取本地登錄/註銷列表。我以evtx格式獲得了安全事件日誌的保存副本，並且遇到了一些問題。 下面的PowerShell提取所有的事件ID爲4624或4634： Get-WinEvent -Path 'C:\path\to\securitylog.evtx' | where {$_.Id -eq 4624 -or $_.Id -eq 4634} 我想那麼只有lo

powershell event-log get-winevent 2016-07-26

---

0熱度

1回答

Get-winEvent轉換爲XML，現在如何獲取值

我對PowerShell相對較新，對SQL更加適應。 我需要從事件日誌中獲取一些數據。到目前爲止，我已經設法建立了我需要使用Get-WinEvent並使用xml元素來獲取我想要的實際信息。 到目前爲止我有： $filterxml = " *[System[(EventID='4624')]] and ( *[EventData[Data[@

xml powershell get-winevent 2017-07-11

---

0熱度

1回答

PS Get-WinEvent拋出'句柄無效'

我有一個主機名列表，我想從中提取所有與AppLocker相關的事件日誌，尤其是帶有級別警告和/或錯誤的事件日誌。 我製作的這個腳本： $ComputersToCheck = Get-Content 'X:\ListWithTheNames.txt' foreach($OneHost in $ComputersToCheck) { try { $EventCollection =

powershell applocker get-winevent 2016-03-02

---

1熱度

1回答

使用Get-WinEvent對多臺計算機進行日誌監控

從下面的代碼行，有沒有辦法讓調用.txt文件來查看要查看的計算機列表？我希望它不僅在一臺計算機上查找日誌，而且還從計算機列表中查找日誌。 $StartDate = (get-date).AddHours(-12) Get-WinEvent -FilterHashtable @{logname="System"; Level=1,2,3; starttime=$StartDate} -ErrorA

powershell event-log get-winevent 2016-09-20

---

2熱度

1回答

在PowerShell中從Get-Winevent消息中選擇特定的行/數據

我想從get-winevent cmdlet的消息輸出中提取特定的行，但無法找到一種方法來執行此操作（我可能會不正確的搜索，但仍然學習更高級的腳本方法）。我所運行的是這樣的： Get-WinEvent -ComputerName $DC -FilterHashtable @{Logname='Security';Keywords='9007199254740992';Data=$userid} -

powershell get-winevent 2016-03-24

---