0

我对 powershell 比较陌生,对 SQL 更熟悉。

我需要从事件日志中获取一些数据。到目前为止,我已经设法确定我需要使用 Get-WinEvent 并使用 xml 元素来获取我想要的实际信息。

到目前为止,我有:

$filterxml = "


            *[System[(EventID='4624')]]
            and
            (
            *[EventData[Data[@Name='LogonType'] and (Data='10')]]
            or
            *[EventData[Data[@Name='LogonType'] and (Data='2')]]
            )


"
$Events = Get-WinEvent -maxEvents 1 -Filterxml $filterXml
# Get out the event message data            
ForEach ($Event in $Events) {            
    # Convert the event to XML            
    $eventXML = [xml]$Event.ToXml() 

 #Now what?? I need to find out how to return the actual data in a form I 
#can put into a datatable.

}

似乎应该很容易将值放入变量或直接放入数据表等。

我一直在寻找解决方案,但没有任何运气。

4

1 回答 1

0

你可以使用Get-EventLog

$eventsIncludingTheId = Get-EventLog -LogName Application | ? { $_.EventID -eq 4624} 
# Export data as XML
$eventsIncludingTheId | Export-Clixml C:\temp\export.xml
# Reimport data from XML
$events = Import-Clixml C:\temp\export.xml

Get-EventLog为您提供不同的事件日志部分(应用程序、系统... -LogName

如果您想知道Get-Eventlog提供哪些属性,您可以执行以下操作:

 Get-EventLog -LogName Application | select -first 1 | gm

这将显示您可以在Where-Object子句 ( ? { $_.EventID -eq 1234)中使用的所有属性

希望有帮助

于 2017-07-11T12:03:46.747 回答