我正在尝试从归档的事件日志文件中检索与错误和警告相关的一些信息。使用以下查询忽略某些事件 ID,但需要仅忽略来自特定源的那些事件 ID
下面的查询使 ia m 尝试使用忽略那些事件 id 来获取输出,但寻找可以是事件 id && source(providername) 组合的东西。
Get-WinEvent -Oldest -FilterHashtable @{Path="20210317_system - Copy.evt" ;Level= 2,3} | Where-Object {$_.ID -ne "4"} | Where-Object {$_.ID -ne "36"} | Where-Object {$_.ID -ne "1111"} | Where-Object {$_.ID -ne "2004"} | Where-Object {$_.ID -ne "10010"} | Where-Object {$_.ID -ne "15300"} | Where-Object {$_.ID -ne "15301"}
用 not in 代替 multiwhere-object
Get-WinEvent -Oldest -FilterHashtable @{Path="20210317_system - Copy.evt"
;Level= 2,3} | Where-Object {$_.ID -notin (1,2,34)}
解决方案是可以通过这种方式使用它,我在示例中尝试了 -notin。Get-WinEvent -Oldest -FilterHashtable @{Path="20210317_system - Copy.evt" ;Level= 2,3} | Where-Object {$ .ProviderName -notin ("b57nd60a","Microsoft-Windows-Time-Service","TerminalServices-Printers","Resource-Exhaustion-Detector","DistributedCOM","HTTPevent") - 或 $ . ID -notin (4,36,1111,2004,10010,15300,15301) } 但是当我用来忽略/否定案例时,我需要在两者之间使用“或”条件,我认为它匹配而不是“和”