0

大家好,

我正在尝试使用 WMI 和 WQL 获取事件日志条目。

我可以使用正确的源名称获取正确的日志,依此类推,但我可以进行选择查询以仅获取过去 5 或 10 分钟的结果。

这是我的查询:

4

2 回答 2

2

以下是我的脚本中的一些片段:

Dim dtmStart, dtmEnd, sDate, ...

我实际上有一系列日期,我整天都在寻找登录/关闭/解锁事件。所以我建立了我完整的开始和结束日期。

我不会输入日期月份和年份,但您可以定义它,例如 sDate = 10100608。

dtmStart = sDate + "000000.000000-420" '0hr on the date in question.
dtmEnd = sDate + "235900.000000-420" ' 23:59 on the date in question

(请注意,此处的 UTC 偏移量以分钟为单位 -420 日光节约时间北美。) 

Set colEvents = oWMIService.ExecQuery _
        ("SELECT * FROM Win32_NTLogEvent WHERE Logfile = 'Security' AND " _
            & "TimeWritten >= '" & dtmStart & "' AND TimeWritten < '" _
            & dtmEnd & "' AND " _
            & "(EventCode = '528' OR EventCode = '540' OR EventCode = '538')")
            ' Query for events during the time range we're looking for.
于 2011-02-02T22:04:59.373 回答
0

麦克风,

告诉我你的查询。通常时间格式是这样的

20100608100000.000000-300

有关 WQL 的日期时间格式的更多详细信息,请参阅此内容

于 2010-10-08T14:02:50.767 回答