问题标签 [get-winevent]

我有以下代码。除了“消息”属性中的“帐户名称”之外，我没有看到任何包含登录用户名称的 Win-Event 属性。如何仅提取“消息”属性的“帐户名称”部分？

编辑：我也尝试了以下但得到了一个空字符串

如何获取消息为 0x1|0x4|等的安全 ID 4663。

我尝试了不同的代码，我只想将大约 5 个代码记录到 CSV，我可以导出到 CSV，并且我只能提取 4663 ID，但我无法过滤消息访问掩码，它是消息字段中的文本，任何人都有任何想法，这是我迄今为止建立的代码： -

这得到了记录

结果应该是

帐户名称：对象名称：WHERE 记录是访问掩码之一：“0x0”、“0x1”、“0x2”、“0x4”、“0x20”、“0x40”、“0x10000”

我试图通过在 select-xml 和Get-WinEvent. 但有些Get-WinEvent模式似乎不适用于Select-Xml. 我得到：

表达式必须计算为节点集

如果我输入“|”，它会起作用 而不是第一个“和”。我从 Windows 日志中创建了一个 xml 文件。我猜你不能在第二个命令中“和”两条路径？我想应该是

但Get-WinEvent更宽容。

这是一个简化的 event.xml：

对于事件查看器，我想要事件树中每个条目的默认视图配置。这些 channel_i.xml 根据树形结构存储在文件夹中的 $env:ProgramData\Microsoft\Event Viewer 下。可悲的是，似乎没有将 Logname 映射到其配置文件位置的标准行为。有没有得到这个的功能？目标语言环境是德语。目前我正在使用一个自定义函数，如果找不到，则哈希表中的所有异常都会返回原始字符串。主要代码是

完整代码可以在https://pastebin.com/Cn4JSmLL下找到

我对 PowerShell 还是很陌生，如果我有一些要求，我现在会做什么，我会在网上搜索并将代码修改为我需要的。

现在，我正在尝试从我们的服务器中提取 RDP 用户登录信息。我设法获得了一些代码，对其进行了更新，以便我可以通过调用命令远程运行它。但是，我对其中一个变量有疑问，其中如果我输入一个日期值，例如 2019 年 9 月 1 日或 2019 年 9 月 1 日，则脚本可以工作。但是如果我使用 (Get-Date).AddDays(-7)，它就行不通了。昨天整个下午我一直在测试这个脚本，而对于我的生活，我仍然无法让它工作:(

这是我遇到问题的代码部分：

这是我正在测试的完整脚本。感谢有人可以就如何在不使用静态日期的情况下完成这项工作提供一些提示。在此先感谢您的帮助！

嘿，我正在尝试在事件日志中获取计划任务的开始和结束时间。

我按照这里的步骤任务计划程序 - 将历史信息获取到脚本变量 中但我不知道如何修改它以仅从一项任务中获取信息。

我试图修改哈希表过滤器

但这会返回错误

Get-WinEvent : 未找到符合指定选择条件的事件。

我试图找到这方面的信息，但我似乎找不到任何指向只完成一项任务的信息。

欢迎任何帮助。

我已经定义了一些我使用事件清单文件注册到事件查看器的 Windows 事件。但是当我通过调用 powershell 命令从我的提供者那里获取事件时

我注意到任务值（System.Diagnostics.Eventing.Reader.EventTask）被解析为错误的数据类型。例如，事件的任务值在事件清单文件中定义为 65534，但 powershell 将其解析为 -2。因此，我无法在 powershell 中发布此 windows 事件，即当我调用时

我得到以下异常：

New-WinEvent ：需要非负数。参数名称：任务+~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : NotSpecified: (:) [New-WinEvent], ArgumentOutOfRangeException + FullyQualifiedErrorId : System.ArgumentOutOfRangeException,Microsoft.PowerShell.Commands.NewWinEventCommand

因为与 MyEventId 关联的任务被解析为负数。然而，我已经看到这个 Windows 事件以正确的任务值成功登录到事件查看器中。

这是powershell中的错误吗？有没有人建议解决这个问题，以便我可以从 powershell 发布这个 windows 事件？

编辑：

根据EventLogRecord.Task，任务值可以是 0 到 65519 之间的任何值，因此 65534 无论如何都不是有效的任务值。但我有另一个值为 65493 的任务，它显然在范围内，但它仍然被解析为 -43。当我尝试发布与此任务关联的 Windows 事件时，会引发上述相同的异常。

我一直在编写一个脚本来从事件日志中提取登录/注销历史记录。问题是我发现的几乎每个代码示例都使用“Get-EventLog”，它确实有效，但由于服务器上的事件日志比典型的工作站大得多，因此处理速度非常慢。因此，我选择了“Get-WinEvent”，因为它提供了非常相似的结果，但会在几秒钟内返回结果。我遇到的问题是将所述结果的输出操作为可用的形式。非常感谢任何帮助！

更新：我能够自己慢慢解决这个问题。详情见评论。感谢任何正在调查此问题的人:)

原始工作代码（Get-EventLog - 慢速输出）

(Get-WinEvent) - 几乎即时的结果

我编写了 powershell 脚本来获取特定用户的登录位置。但我想每天只得到一个结果。

该脚本运行良好，但每天都会产生很多结果。

这是我的脚本：

尝试将 PS 查询组装到 EventLog 中，并使用 MaxEvents 限制。如果“MaxEvents”为 1，它打印零行，当 MaxEvents 为 2 时，它打印标题行和一个事件。这是正确的行为，还是我错过了什么？