Get-WinEvent中消息中的grep字符串
Get-WinEvent是Windows操作系统中的一个PowerShell命令,用于获取事件日志信息。它可以根据指定的条件来筛选和过滤事件日志,并返回符合条件的事件记录。
在Get-WinEvent命令中,消息中的grep字符串是用于匹配事件日志消息文本的关键字或正则表达式。它可以帮助我们筛选出包含特定字符串的事件记录。
使用grep字符串可以实现以下功能:
- 筛选特定类型的事件:可以使用关键字来筛选特定类型的事件,例如筛选所有错误事件或警告事件。
- 查找特定应用程序或服务的事件:可以使用关键字来筛选特定应用程序或服务生成的事件,以便进行故障排除或监控。
- 检索特定时间范围内的事件:可以使用关键字来筛选特定时间范围内生成的事件,以便进行日志分析或安全审计。
- 根据关键字进行事件分类:可以使用关键字来对事件进行分类,以便更好地组织和管理事件日志。
腾讯云提供了一系列与日志相关的产品和服务,可以帮助用户更好地管理和分析事件日志。以下是一些推荐的腾讯云产品和产品介绍链接地址:
- 云原生日志服务(CLS):腾讯云原生日志服务(Cloud Log Service,CLS)是一种全托管的日志管理服务,可帮助用户实时采集、存储、检索和分析大规模日志数据。它提供了灵活的日志检索和分析功能,可以帮助用户更好地理解和利用事件日志数据。了解更多:云原生日志服务(CLS)
- 云审计(CloudAudit):腾讯云审计(CloudAudit)是一种全面的云安全审计服务,可以帮助用户实时监控和记录云上资源的操作行为。它可以记录事件日志、配置更改、访问控制等操作,并提供了可视化的审计报告和告警功能。了解更多:云审计(CloudAudit)
- 云监控(CloudMonitor):腾讯云监控(CloudMonitor)是一种全面的云资源监控服务,可以帮助用户实时监控云上资源的性能和状态。它可以监控事件日志、系统指标、网络流量等,并提供了可视化的监控面板和告警功能。了解更多:云监控(CloudMonitor)
请注意,以上推荐的腾讯云产品仅供参考,具体选择应根据实际需求进行。
相关·内容
我有一个脚本来检查事件日志从get-winevent,我需要显示的get-winevent输出的完整结果基于搜索字符串从消息列。
有没有办法在get-winevent中使用grep Message列
这是当前字符串
Get-WinEvent -ComputerName $Target_Machine -FilterHashtable $params
浏览 13提问于2017-07-28得票数 2
回答已采纳
1回答
我使用以下代码将所有事件日志中的错误和警告导出到一个文本文件中。它可以工作,但非常慢,并且一些消息被截断。我想知道是否有更有效的编码方法。我是powershell的新手,所以非常感谢您的想法或想法。 $Logs = Get-Winevent -ListLog *
foreach ($Log in $Logs) {
Get-WinEvent -LogName $Log.LogName -ErrorAction SilentlyContinue | ?{$_.Level -eq 1 -or $_.Level -eq 2 -or $_.Level -eq 3} | Sort-Object Pro
浏览 31提问于2020-06-22得票数 0
回答已采纳
我正在尝试获得EventLog日志应用程序、安全性和系统中的最后10个事件。我收到这条消息时出错了:
Get:无法将'System.Object[]‘转换为参数’LogName‘所需的'System.String’类型
在运行脚本时。该脚本只在运行logname "Application“时工作。
Get-Eventlog -Newest 10 -LogName "Application","Security","System"
浏览 3提问于2017-10-11得票数 1
我正在使用get-eventlog拉取和过滤系统事件日志数据。我发现get-event日志无法正确返回与某些条目关联的消息。这些条目通常会出现在事件日志查看器中。例如。
get-eventlog -logname system | ? { $_.source -eq "Microsoft-Windows-Kernel-General" }
返回8个条目,所有条目都具有以下形式的消息:
The description for Event ID '12' in Source 'Microsoft-Windows-Kernel-General' can
浏览 11提问于2015-07-14得票数 5
我想知道如何检查整个Windows日志中与特定日期匹配的事件,例如:此时停止在"System“日志上:(
Get-WinEvent System | where {$_.TimeCreated -eq "24.03.2021 20:50:37"}
但结果什么也没给我。我想使用脚本搜索所有事件,而不仅仅是系统。我需要把日期和事件联系起来。我的剧本是这样的:
(Get-WinEvent –ListLog * -ErrorAction SilentlyContinue).LogName | ForEach-Object {Get-WinEvent | where $_.Tim
浏览 5提问于2021-04-20得票数 0
回答已采纳
为了收集命令行中输入的内容,我们在powershell配置文件中添加了以下内容。
$LogCommandHealthEvent = $true
$LogCommandLifeCycleEvent = $true
但是我怎样才能从这里得到信息,我正在寻找在powershell控制台中输入的命令行-
$event = Get-WinEvent -FilterHashtable @{logname=’Windows Powershell'; id=500} -MaxEvents 1
$Event.Message
给我信息,但我想要的只是最后一行"CommandLine“
Detail
浏览 0提问于2016-05-23得票数 0
回答已采纳
我想做什么?
我运行Get-WinEvent函数,-FilterHashTable为ID参数提供了一个有趣的事件ID数组。
$IDS = 4720,4722,4723,4724,4725,4726,4727,4728,4729,4730,4731,4732,4733,4734,4735,4737,4738,4740,4741,4742,4743,4744,4745,4746,4747,4748,4749,4750,4751,4752,4753,4754,4755,4756,4757,4758,4759,4760,4761,4762,4763,4764,4767,4781
Get-WinEve
浏览 1提问于2018-09-28得票数 3
回答已采纳
我有下面的代码。除了"Message“属性中的”帐户名称“外,我没有看到包含登录用户名称的Win-Event属性。如何仅提取“消息”属性的“帐户名称”部分?
Get-WinEvent -Computer $computer -FilterHashtable @{Logname='Security';ID=4672} -MaxEvents 1 | Select-Object -Property Message
编辑:我也尝试过以下方法,但得到了一个空字符串
Get-WinEvent -Computer $computer -FilterHashtable @{Lognam
浏览 2提问于2019-01-04得票数 0
回答已采纳
我试图获取某个进程的EventLog条目,“应用程序错误”。我可以使用下面的命令列出它,但是我很难找到如何列出日志条目,而不仅仅是LogLink名称。
powershell Get-WinEvent -ListProvider *Error
给予:
Name: Application Error
LogLinks: {Application}
Opcodes: {}
Tasks: {}
我找到了这个例子,但我不确定他们是如何获得获得日志条目的xml定义中使用的目录信息的。
我试过了
powershell Get-WinEvent -ListProvider *Error -lo
浏览 16提问于2022-07-26得票数 0
我有一个脚本来读取应用程序和系统事件日志的最后30个条目,目前这些脚本只在我的机器上工作,并且只输出部分消息(例如,参见下面)。
411905 05月15日15:05微软-视窗.1501成功处理了用户的组策略设置。上一次succ之后没有发现任何变化..。
有人能告诉我怎么做以下事情吗?
将此应用于远程计算机--我尝试以\domain\ computer名称的格式输入计算机名,但不起作用
我如何能够显示完整的消息,而不仅仅是一个部分
如何使用计算机名保存文件,作为文件名的一部分,例如"mycomputer应用程序log.txt“
到目前为止,我的剧本是这样的
Get-
浏览 1提问于2016-05-05得票数 1
3回答
所以我得到了这个密码:
$events = Get-WinEvent -FilterHashtable @{logname='application'} |
Select Id,ProviderName,Message,TimeCreated
它给了我以下输出:
Id ProviderName Message TimeCreated
-- ------------ -------
浏览 7提问于2014-07-28得票数 2
回答已采纳
问题
我正在尝试安排一个监视远程机器上事件的作业。
我根据Get-EventLog命令编写了脚本,它在由我的帐户运行时工作正常。但是,当我以Get-EventLog用户身份运行SYSTEM时,返回对象的.Message属性显示了以下错误:
无法找到源“Microsoft安全性-审核”中事件ID '4724‘的说明。本地计算机可能没有显示消息所需的注册表信息或消息DLL文件,或者您可能没有访问它们的权限。下列信息是事件的一部分:{somedata}
当我以Get-WinEvent用户身份使用SYSTEM命令时,问题不会出现,.Message部件将正确显示。
我会坚持使用Get-W
浏览 1提问于2018-09-28得票数 2
我刚接触过powershell,已经学了不少东西。但还有更多的事情要做。所以我的代码不是最紧的。
我创建了一个事件日志搜索工具。它允许我通过ID、错误级别、关键字等进行搜索。除了关键字和提供者名称之外,大多数情况下,它是有效的。
当前,当试图在日志中搜索关键字或一组关键字时,脚本会提示错误消息:
Get:指定的图像文件在C:\Users\Rob\Google Drive\Powershell\Get-logs.ps1:65 char:9 + Get-WinEvent -FilterHashtable @{Logname=$Log} -ComputerName $Computer .++ Ca
浏览 0提问于2018-05-26得票数 0
回答已采纳
我试图从所有用户名、创建时间和公共ip地址中提取
Microsoft-Windows-TerminalServices-Gateway/Operational事件
我使用下面的命令从消息中获取所有事件,但我只需要用户名和ip。
get-winevent -FilterHashtable @{Logname = "Microsoft-Windows-TerminalServices-Gateway/Operational" ; ID = 300,302,303}
试着用这个不走运
get-winevent -FilterHashtable @{Logname = "
浏览 4提问于2016-09-14得票数 1
回答已采纳
我使用powershell来使用Get-WinEvent查看事件日志。由于某些原因,事件的ReplacementStrings属性不会显示给我。我对此感到非常困惑,因为它似乎会出现在互联网上的其他人身上。它将使用Get-EventLog显示,但不使用Get-WinEvent。有什么是我必须做的吗?
浏览 7提问于2022-07-22得票数 0
1回答
在powershell中,有许多命令可以操作和查看事件日志。我可以用Limit-EventLog设置大小/设置。但是,我无法找到获取日志当前设置的方法。我想知道日志允许增长到的最大大小设置为什么。
有人知道怎么做吗?
谢谢。
浏览 2提问于2014-07-31得票数 0
回答已采纳
1回答
如何在自定义事件日志上设置监视
、、、、
实际上,我想在我的Master.bat文件中实现以下三件事:
1. Collect and redirect all the entries of ‘Application’ event log to an output file.
2. Search for a specific error message “The system cannot find the file specified” in Application event log and append the whole error message line to a log file.
3. Send an Email
浏览 0提问于2013-11-27得票数 0
回答已采纳
1回答
下面有一些命令,在使用PowerShell查找Windows中的特定关键字时,这些命令不会给出任何输出。
Get-WinEvent -FilterHashtable @{LogName="Application"} | Select-String "Information"
但是,如果我只运行Get-WinEvent -FilterHashtable @{LogName="Application"},就会有许多带有Information关键字的条目。Select-String -pattern "Information"也不起作用
浏览 2提问于2014-10-30得票数 1
回答已采纳
假设我想找到包含字符串4688的事件0x1278的最新出现。通过获取一定数量的事件,然后搜索消息以查找该字符串,我能够找到该事件:
Get-WinEvent -MaxEvents 1000 -FilterHashTable @{LogName="Security";Id=4688} | Where-Object {$_.Message -match "0x1278"}
这种方法有两个问题:
脚本必须始终等待返回1000个事件,即使正在搜索的事件位于索引3。如果该事件较旧,并且在索引1034处,则为,则检查的事件太少,并且在它本应出现的时候找不到。
有没有办法解决
浏览 0提问于2020-02-18得票数 1
因此,我尝试从事件查看器中提取所有Microsoft Office Alerts消息,并使用Powershell ISE将它们放入.txt文件中。我从前面的代码中修改了这一点,它想要导出所有不同类型的事件查看器消息(以前的版本成功地工作了)。然后,我想只接受一个特定的消息(例如,PDF Reflow相关的),并将它们放入另一个.txt文件中。 目前我有, Get-WinEvent Microsoft Office Alerts* > .\Documents\ErrorTestFile1.txt # Should retrieve ALL Microsoft Office Alerts
浏览 49提问于2020-04-07得票数 0
回答已采纳
2回答
每当我拿出win10 BitLocker USB启动盘(TSK)时,我都会尝试让设备关机。我已经启用了DriverFrameworks-UserMode/Operational Logging来生成适当的日志,我想在日志中抓取特定U盘的InstanceID。 如果我执行以下操作,它可以从所有删除的USB中拉出所有2102个事件: Get-WinEvent -LogName Microsoft-Windows-DriverFrameworks-UserMode/Operational -FilterXPath '*[System[(EventID=2102)]]' 但是,当我尝
浏览 318提问于2020-09-29得票数 1
如何获取安全ID 4663,其中消息为0x1|0x4|等。 我已经尝试了不同的代码,我只想将大约5个代码记录到CSV,我可以导出到CSV,我只能提取4663 ID,但我不能过滤消息访问掩码,这是消息字段中的文本,任何人有任何想法,这是我到目前为止建立的代码: $Results = foreach($server in "server-name")
{
Get-WinEvent -ComputerName $Server -logname security -MaxEvents 10 -ErrorAction SilentlyContinue | where {$_.i
浏览 76提问于2019-01-29得票数 1
在某些情况下,当从System.Diagnostics.EventLog检索事件日志时,如下所示
The description for Event ID '10016' in Source 'DCOM' cannot be found...
会被归还。我发现这个响应也由Powershell中的Get-EventLog命令返回。
实际消息应该如下所示:
The application-specific permission settings do not grant Local Activation permission...
并由Get-WinEvent命令返
浏览 3提问于2021-09-06得票数 0
回答已采纳
我使用读取事件。使用此cmdlet,我可以成功地读取系统和安全事件日志。我还可以通过发出以下命令列出所有可用的日志:
Get-EventLog -LogName * | Select-Object -Property Log
输出:
Log
---
Application
HardwareEvents
Internet Explorer
Key Management Service
OAlerts
Parameters
Security
State
System
Windows PowerShell
但是,这个列表并不包含在应用程序和服务日志下可以找到的所有日志,例如:我想从这个路径读取事件,
浏览 0提问于2021-03-08得票数 2
回答已采纳
我在Powershell中使用Get-WinEvent在一个时间间隔内获得事件日志。为了避免数据丢失或重复,我需要知道StartTime和EndTime的间隔类型。
在MSDN中的以下示例中:
PS C:\> # Use the Where-Object cmdlet
PS C:\>$yesterday = (Get-Date) - (New-TimeSpan -Day 1)
PS C:\>Get-WinEvent -LogName "Windows PowerShell" | Where-Object {$_.TimeCreated -ge $ye
浏览 3提问于2015-08-03得票数 0
回答已采纳
我正在尝试获取系统和应用程序事件日志的securitydescriptor,看看它是否正确。当您将其更改为自定义设置时,将在注册表项customSD中设置该设置。问题是,Get-Winevent似乎只返回channelAccess的默认设置,而忽略任何customSD(这种行为发生在Windows2016服务器上)
执行此操作:
$log = Get-WinEvent -ListLog "system"
$log.SecurityDescriptor = $SecurityDescriptor
$log.SaveChanges()
将在HKEY_LOCAL_MACHINE\SY
浏览 1提问于2017-10-20得票数 0
1回答
目录服务事件日志
、、
情况:我需要每小时检查一次多台服务器的目录服务事件日志。为了做到这一点,而不压碎DC,并且不受网络速度的约束,我将evtx文件复制到另一台机器上。缺点是,我正在处理的机器上没有AD角色,也不能安装它,这意味着像logparser.exe和PowerShell Get-WinEvent这样的工具无法读取日志中的消息信息。
我所寻求的是一种以编程方式从事件日志读取消息的方法,或者能够加载dll/程序集以方便所述读取。PowerShell非常喜欢,因为我不是.NET开发人员。
提前感谢您的协助。
浏览 0提问于2017-02-02得票数 1
回答已采纳
目前我们有一台安装了Windows Server2008 r2操作系统的服务器。现在有很多人已经习惯了远程使用这台服务器。现在我对WMI类有了一些了解,它提供了有关用户登录(Win32_LogonSession)的信息,但它不能提供我想要的信息。像我想要的用户登录时间,注销时间,远程位置IP地址(这样我就可以猜测它是不是理想的位置)。
请帮助我,如果我可以这与WMI的帮助
浏览 0提问于2013-03-07得票数 1
1回答
我有数百to的Evtx安全事件日志,我要根据事件ID解析特定的事件ID (4624)和用户名(joe)。我尝试使用Powershell cmdlet,如下所示:
get-winevent -filterhashtable @{Path="mypath.evtx"; providername="securitystuffprovider"; id=4624}
我知道我可以将一个包含列表的变量传递给所有EVTX文件的Path参数,但我无法根据evtx消息的子集进行过滤。此外,这需要非常长的时间来解析一个Evtx文件,远远少于150个左右。我知道有一个python包
浏览 6提问于2017-02-03得票数 1
回答已采纳
当我运行下面的命令按ID列出日志时,它显示为Get-WinEvent : No events were found that match the specified selection criteria.
如何捕获此异常并显示一条简单的消息“找不到事件”。
我运行的命令-
Get-WinEvent -FilterHashtable @{LogName="Application";ID="191"}
我在下面试过了,但不能让它工作-
try { Get-WinEvent -FilterHashtable @{LogName="Application"
浏览 0提问于2014-11-01得票数 5
回答已采纳
我从一个按时间顺序排列的事件日志中抓取了几个事件,get-winevent 不想把它输送到想要使用的地方
在获得Event1之后,我需要获得另一个事件的第一个实例,该事件在Event1之后发生了一些未知的时间。然后获取发生在Event2等之后的某个时候的Event2。
从以下几个方面开始:
$filterXML = @'
<QueryList>
<Query Id="0" Path="System">
<Select Path="System">*[System[Provider[@Name
浏览 4提问于2012-01-23得票数 3
尝试使用Get-WinEvent创建一个简单的Windows错误查询(尽管我更希望查询一个WMI对象以便与SCUP一起使用):
get-winevent -logname System| Where-Object {$_.ProviderName -eq "Microsoft-Windows-WindowsUpdateClient"}
这似乎在很大程度上是可行的。但是,它只返回信息性事件,而不返回错误。这些是否位于其他地方,如果是,我将如何查询它们?对于某些背景,在我的环境中大约10%的Windows 10机器上发生了特定的更新失败(缺少组装文件),我想针对它来部署解决方案。
浏览 6提问于2017-10-14得票数 0
回答已采纳
我想把stdout从一个进程转移到另一个不使用stdin的进程中,因为它是用于另一个目的的。
总之,我想实现这样的目标:
echo "a" >&4
cat | grep -f /dev/fd/4
我使用一个文件作为文件描述符4的源代码来运行它,但这不是我想要的:
# Variant 1
cat file | grep -f /dev/fd/4 4<pattern
# Variant 2
exec 4<pattern
cat | grep -f /dev/fd/4
exec 4<&-
我最好的尝试就是这样,但是我得到了以下错误消息:
#
浏览 3提问于2017-04-01得票数 1
回答已采纳
当我运行以下查询时...
C:\>powershell "Get-WinEvent -FilterXML ""<QueryList><Query><Select Path='System'>*[System[(EventID=1074 or EventID=6013) and TimeCreated[@SystemTime>='2015-01-23T05:00:00.000Z' and @SystemTime<='2015-01-27T17:59:59.999Z
浏览 0提问于2015-01-29得票数 0
我想以不同用户的身份通过powershell获取事件日志。我已经查找了几乎所有的在线资源,但无法找到通过powershell获取另一个用户的事件日志的方法。
浏览 20提问于2021-04-08得票数 0
我需要从事件日志中筛选最后一个“引导事件”的I
通过运行psloglist -accepteula -n 1 -s -o "Microsoft-Windows-Kernel-General“-i 12 -t ;,我可以重定向到一个文件,只需要过滤后面的第一个数字块;如下面的示例所示
\ log 000084151005上的系统日志:
107604;System;Microsoft-Windows-Kernel-General;INFORMATION;FDU000084151005
你能帮我用powershell写吗?
浏览 0提问于2011-12-06得票数 2
回答已采纳
我试图使用'git日志--grep‘来返回以"word“开头的提交。我试过'git日志‘--grep=“word”。但是,这将返回所有包含提交消息中任何位置的字符串"word“的提交。
浏览 0提问于2019-07-31得票数 1
回答已采纳
2回答
是否有可能通过powershell从事件查看器中提取一些关于事件id描述的信息?例如,我想看看我的域控制器上是否有这个描述为“身份验证包: WDigest”的事件id4776。
浏览 28提问于2020-05-22得票数 0
回答已采纳
我正在尝试运行一个powershell脚本,它将从2次之间提取应用程序事件日志。我有以下代码:
$Begin = Get-Date -Date '2/04/2022 14:36:00'
$End = Get-Date -Date '2/04/2022 14:40:00'
Get-EventLog –LogName Application -After $Begin -Before $End
我一直收到以下错误。
Get-Date : Cannot bind parameter because parameter 'Date' is specifi
浏览 10提问于2022-02-07得票数 0
这是我第一次在PowerShell工作。我只想根据日期过滤事件。
根据文档,Logname和Providername接受通配符。
我如何才能通配符的Logname?我试过*,**,但它似乎确实奏效了。
Get-WinEvent -FilterHashtable @{Logname=*; StartTime=$startTime; EndTime=$endTime}
浏览 3提问于2019-10-31得票数 1
回答已采纳
我正在尝试获取最后一个事件(在消息字段中具有特定的事件ID和特定的单词)。我使用的代码是:
Get-WinEvent @{logname = 'security';id=4663} | ? {$_.Message -like "*WriteData (or AddFile)*"}
我的问题是,它会找到多个事件,而我只想获得最新的事件。我知道我可以使用-MaxEvents 1 (在按日期排序之后),但我需要将它放在管道之后(因为我想要在Message过滤之后获得最新的事件)。
你知道我该怎么做吗?
提前谢谢。
浏览 0提问于2020-05-04得票数 2
1回答
我正在尝试使用Get-WinEvent Powershell cmdlet导出Windows日志。以下内容将使我获得我正在寻找的时间精度,但这只得到了我的时间戳。我需要将时间戳加入到其他列,其中包括机器名称、事件id等。
这段代码给了我精确的时间戳。
Get-WinEvent -LogName Application -MaxEvents 10 | Select-Object -Expand TimeCreated | ForEach-Object {
$date = [DateTime]$_
$date.ToString("yyyy-MM-dd HH:mm:ss")}
浏览 3提问于2018-12-06得票数 0
回答已采纳
这个问题可能会转储,但我如何查询名为“Microsoft组策略/操作”的“特殊”事件日志?
Get-EventLog -Source "GroupPolicy" -LogName "Microsoft-Windows-GroupPolicy/Operational"
失败了下面也是。
Get-EventLog -Source "GroupPolicy" -LogName "Microsoft-Windows-GroupPolicy"
浏览 1提问于2014-08-13得票数 0
回答已采纳
我会知道我的查询出了什么问题吗?
Get-WinEvent -LogName 'Application' -FilterXPath "/Event/System/Provider[@Name = 'My App']"
每次我都会得到下面的异常:
*Get-WinEvent : La requête spécifiée n’est pas valide
Au caractère Ligne:1 : 1
+ Get-WinEvent -LogName 'Application' -FilterXPath "/Event/Sys
浏览 3提问于2017-10-23得票数 0
如何从Message属性中提取Hashes属性值?这与1相关 命令: Get-WinEvent @{logname="Microsoft-Windows-Sysmon/Operational";id=1} | Select-Object -Property Message | Format-List 输出: Message : Process Create:
RuleName: -
UtcTime: 2020-12-18 12:42:03.984
ProcessGuid: {1804e376-a39b-5fdc-8c
浏览 25提问于2020-12-18得票数 0
回答已采纳
我想找出哪个用户,ip,工作站名称连接到一个站点。这可以在事件日志事件in 4624 logontype 10 (远程交互,如rdp)中看到。当这种情况发生时,我需要消息字段中的一些数据,但只需要一些并非全部的数据。
Get-WinEvent -FilterHashtable @{Path="c:\temp\raw_data\SavedSecurity.evtx";} |Where {($_.id -eq "4624" -and $_.properties[8].value -in 10)} |Select-Object -Property TimeCreate
浏览 0提问于2018-01-30得票数 0
回答已采纳
我一直在努力寻找这个问题的答案,但我很难得到一个明确的答案。希望有人能帮上忙。
我想在一个或多个文件中grep两个模式,希望该命令只grep具有以下两种模式的文件:
grep 35=[D|F|G] | 1=Account1 .log
我希望所有在.log中包含帐户1的35=D,F,G消息
希望有人能帮助你,并提前感谢你。
浏览 0提问于2013-05-31得票数 0
我正在尝试查看7045中我能够提取路径名的所有事件。但是,我还想选择事件的时间戳吗? Get-WinEvent -Path ".\System.evtx" |
where {$_.id -eq "7045"} |
Foreach {([xml]$_.ToXml()).GetElementsByTagName("Data").itemOf(1)} |
Select -ExpandProperty "#text" -Unique
Get-WinEvent -Path ".\System.evtx&#
浏览 11提问于2019-06-02得票数 0
在特定日期之后检索事件时,Get-WinEvent似乎比Get-EventLog慢:
$SourceComputer = "MyServer"
$LogName = "Security"
$StartDate = (get-date).AddMinutes(-30)
$hashquery = @{logname=$LogName; StartTime=$StartDate}
(Measure-Command -Expression {Get-WinEvent -ComputerName $SourceComputer -FilterHashTable $hash
浏览 1提问于2013-05-24得票数 4
1回答
我正在处理一些日志,似乎Get-EventLog无法显示实际的最大大小。它是通过“旧的”gpo设置设置的最大值。
📷
为了好玩,我已经将事件日志大小设置为2TB,我可以看到当前大小是6GB,所以Get-EventLog显示的4gb更多。
📷
📷
有人知道原因吗?还是我用错了命令?还是误读了结果?
📷
在使用WMI时同样类型的答案..。
📷
浏览 0提问于2018-03-26得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
