问题标签 [get-winevent]

上述命令将获取过去 10 小时内的所有“系统”事件日志。但是，我只想获取过去 10 小时内“ Microsoft-Windows-WindowsUpdateClient ”的事件日志。我尝试了以下行，这导致了错误。

我应该如何在命令中包含“ProviderName”？

当我在 $ComputerName 中有 1 台计算机时，它可以工作，但是当我添加另一个计算机名称时，它会给出错误。[代码和错误][1] 抱歉，以下是代码：

$ComputerName = 'Server1','Server2' ForEach($Computer in $ComputerName){ $Info = Get-WinEvent -ComputerName $Computer -FilterHashTable @{Logname='System';ID=1074,6008,1076} | Sort-Object MachineName, TimeCreated, ID | 组对象 MachineName、TimeCreated、ID、消息| Select-Object @{N="Computer";E={$_.Group[0].MachineName}}, @{N="TimeCreated"; E={$ .Group[0].TimeCreated}}, @{N="Error ID";E={$_.Group[0].ID}}, @{N="Message"; E={$ .Group[0].Message.Replace(" r",' ').Replace("n",'')}} ` | 导出-Csv -NoTypeInformation -Path C:\ServerLogs\events3.csv;}

错误：

Get-WinEvent : RPC 服务器在 C:\EventLogs\TEST.ps1:3 char:9 处不可用

• $Info = Get-WinEvent -ComputerName $Computer -FilterHashTable @{Logn ...
• • CategoryInfo : NotSpecified: (:) [Get-WinEvent], EventLogException
  • fullyQualifiedErrorId：System.Diagnostics.Eventing.Reader.EventLogException,Microsoft.PowerShell.Commands.GetWinEventCommand

我启用了审核事件组策略，然后将我的测试帐户添加到 Groupname11。

当我尝试在没有注释掉其他组名的情况下运行它时，我没有从$Events.

我不明白我做错了什么？

我正在尝试从事件日志输出中提取部分消息。

我运行了以下命令：

我正在使用不同的方法通过运行以下命令来获得所需的输出，但没有一个能正常工作。也许我没有尝试并完美地解决它。

我的输出：

我正在尝试从上述输出中获取值

我根本不习惯使用 PowerShell，但到目前为止，我有以下代码来获取 4625 事件

这给了我输出

我的问题是我需要消息部分中包含的帐户名中的“ScriptTesting”。我有

获取帐户名，但我似乎无法为 Get-EventLog 使用文件，那么在说明 evtx 文件的文件路径时获取该帐户名的最简单方法是什么？（由于一个单独的过程，我需要能够从 evtx 文件中提取它而不是从机器中获取。）

提前致谢！