Powershell:无法使用Get-EventLog获取特定事件IDS的输出 - 腾讯云开发者社区

文章/答案/技术大牛

发布

PS命令之中系统日志相关信息查看与管理

[TOC] 系统日志查看与管理 Get-EventLog 命令 - 获取本地计算机或远程计算机上的事件日志或事件日志列表中的事件。...Tips: 在Windows Vista和更高版本的Windows中获取使用Windows事件日志技术的日志，请使用 “get WinEvent” cmdlet。...# - 4.从特定事件日志获取错误事件(Error)、失败事件(FailureAudit)、成功事件(SuccessAudit)、Information 、Warning Get-EventLog...# 47 Get-EventLog -LogName System -Message *description* # - 6.显示事件的属性值以及按属性获取事件和分组 $A = Get-EventLog...# - 8.使用源和事件ID从事件日志获取事件 Get-EventLog -LogName Application -Source Outlook | Where-Object {$_.EventID

8995 0

Get-WinEvent和Get-EventLog的区别及效率

Windows事件日志查看命令通常有2种：Get-WinEvent和Get-EventLog，那么二者之间的区别是什么？应用场景又是什么呢？...一、区别与联系联系就是二者都可以处理Windows事件日志，并且在本地执行时随便使用哪个命令都不影响输出结果内容，这里主要讨论区别： 1....image.png 二、执行效率对比这里我简单写了如下PowerShell脚本，用来测试Get-EventLog和Get-WinEvent加筛选条件下的执行效率。...测试Get-WinEvent,使用XML过滤（条件：最近1天内产生的Eventid=4625事件日志），耗时：269.49秒； 6....测试Get-WinEvent,使用XML过滤（条件：最近1天内产生的关键词为“审核失败”且Eventid=4625事件日志），耗时：263.30秒。

3.5K5 0

您找到你想要的搜索结果了吗？

是的

没有找到

PowerShell 基础篇

-SourcePath ./ 使用帮助系统查找命令，例如想查找系统事件日志，却不知道使用哪个命令，可以运行以下命令 Help *log* Help *event* 或者使用Get-Command...最佳实践是总是指定参数名, 熟练以后再使用位置参数来节省时间 Cmdlet 的命名惯例,以标准的动词开始比如Get, Set, New, 或Pause powershell中的别名: 只是命令的一个昵称..., 无法包含任何参数使用快捷方式: 简化参数名称: powershell不要求输入完整的参数名称, 例如可以用-comp代替-ComputerName , 必须是唯一识别参数所需要输入的最少的部分....可以使用某个提供程序创建一个PSDrive, PSDrive可以通过一个特定的提供程序连接到某些存储数据的介质, 这和在windows资源管理器中类似, 本质上是创建一个驱动器映射, 但是由于PSDrive...New-Item, 并指定ItemType为directory powershell 可以使用?

2.2K1 0

深入理解Windows中的Get-WinEvent命令

对于系统管理员和开发者来说，PowerShell是一种强大的工具，可以用于管理和自动化任务。在本篇文章中，我们将专注于其中一个特定的命令：Get-WinEvent。...Get-WinEvent 是PowerShell中的一个cmdlet，用于获取Windows事件日志中的事件。...与它类似的命令还有Get-EventLog，但Get-WinEvent提供了更多的功能，包括对远程计算机的支持、对事件追踪日志的支持，以及更高效的日志过滤。如何使用Get-WinEvent命令？...下面是一些基本的用法示例：获取所有事件： Get-WinEvent 注意，因为事件日志可能包含大量的数据，所以这个命令可能需要一些时间才能完成。...获取特定日志的事件： Get-WinEvent -LogName Application 这个命令将获取"Application"日志中的3个事件。

1.4K1 0

Windows事件日志终极指南

核心日志位于“Windows日志”下，特定应用的日志（如PowerShell）位于“应用程序和服务日志”下。中间窗格:显示所选日志提供程序的所有事件列表。...获取帮助:Codesnippet展开代码语言：TXTAI代码解释::查看所有可用命令wevtutil.exe/?::查看特定命令的帮助(例如qe-query-events)wevtutilqe/?...它取代了旧的Get-EventLog命令，并提供了更强大的筛选功能。...####方法二：使用FilterHashtable(高效)这是微软推荐的筛选方法，因为它在获取数据之前就应用了过滤器，效率极高。...由于事件日志的底层是XML格式，因此可以使用XPath来构建极其精确和复杂的查询。#####使用事件查看器构建XPath查询构建XPath查询最简单的方法是利用事件查看器的XML视图。

4882 0

Windows数据中心蓝队PowerShell安全防护指南

PowerShell Windows数据中心蓝队指南目录简介安全配置日志记录与审计事件响应持续监控用户账户管理网络安全补丁管理资源监控文档记录培训与意识结论简介简要概述PowerShell在Windows...Get-EventLog -LogName Security -InstanceId 4720 -Newest 10网络安全利用PowerShell执行网络相关任务（例如防火墙规则、端口扫描）# 示例：...检查远程服务器上的开放端口Test-NetConnection -ComputerName "RemoteServer" -Port 80补丁管理使用PowerShell自动化补丁管理（例如安装更新、检查合规性...）# 示例：安装待处理的更新Install-WindowsUpdate -AcceptAll -AutoReboot资源监控实施PowerShell脚本来监控资源使用情况（CPU、内存、磁盘）# 示例：...获取CPU使用率Get-Counter '\Processor(_Total)\% Processor Time'文档记录为PowerShell脚本、计划任务和配置编写文档，以供将来参考。

2981 0

Windows服务器出问题？别慌！教你几招日志排查绝技，让故障无处遁形

文件复制服务无法与主域控制器建立会话 13509 文件复制服务成功与主域控制器建立会话磁盘和存储事件 51 磁盘错误 55 文件系统结构损坏 7 设备驱动程序错误 PowerShell -...如果你想看特定时间段的日志： Get-EventLog -LogName Application -After "2024-01-01" -Before "2024-01-02" 更强大的是Get-WinEvent...-like "*SQL*"} 这样就能找到所有消息中包含"SQL"的事件，对于定位特定应用的问题很有帮助。...应用程序特定日志不同的应用程序都有自己的日志记录方式，这些也不能忽视。...从基础的事件查看器到高级的PowerShell命令，从单机日志分析到分布式日志管理，每个层面都有其价值。关键是要养成良好的习惯：遇到问题先看日志，定期检查系统状态，建立合理的监控告警机制。

7891 0

ElasticStack日志采集监控搭建实践案例

Windows PowerShell Step 5.保存配置文件后，使用以下命令对其进行测试,并Winlogbeat加载附带用于解析、索引和可视化数据的预定义资产。...（只应在测试实验功能时设置此选项） tags: [forwarded] # - 标记使得在Kibana中选择特定事件或Logstash中的applyconditional过滤变得容易标记将被附加到常规配置中指定的标签列表中...event_id: 400, 403, 600, -800, # - 包含和排除（阻止）事件ID的列表, 排除事件ID为800的事件 - name: Microsoft-Windows-PowerShell...（对于elasticsearch输出），或设置raw_index事件的元数据字段（用于其他输出） keep_null: true # 如果此选项设置为true，则字段null值将在输出文档中发布...Tips : 如果指定的事件ID超过22个要包含或排除的事件ID超过22个，Windows将阻止Winlogbeat读取事件日志，因为它限制了事件日志查询中可以使用的条件数。

2.5K2 0

PowerShell 拿到最近的10个系统日志

我最近发现我的程序总是调用一些不清真的代码，于是在运行的时候就退出了，我想要拿到系统的日志知道我的程序是怎么退出的，我如何通过 PowerShell 拿到最近的10个系统日志。...为什么需要拿到最新10个日志，因为在我程序退出的时候可能也有其他的几个程序也退出了，我的输入又很慢，所以我就需要这样写在 PowerShell 只需要一条命令就可以拿到最近的 10 个系统日志里面的应用程序日志...Get-EventLog application -newest 10 | Format-List EventID,EntryType,TimeGenerated,Message,Source 运行的时候大概的输出是这样...Information TimeGenerated : 2019/4/29 10:38:55 Message : 故障存储段 125730739576，类型 5 事件名称...\C:\Users\lindexi\AppData\Local\Temp\WER84F3.tmp.WERDataCollectionStatus.txt 可在此处获取这些文件

4863 0

windows: 了解 Windows PowerShell 会话记录工具 Start-Transcript

引言在日常使用Windows PowerShell进行脚本编写和命令执行时，记录会话中的操作和输出是非常有必要的。这不仅有助于审计和问题排查，还能方便日后的复盘和学习。...Windows PowerShell提供了一个强大的命令——Start-Transcript，用于记录当前会话的所有输入和输出。...要停止记录，可以使用Stop-Transcript命令： powershell Stop-Transcript 指定输出文件通常情况下，你可能希望将记录保存到特定的文件路径中，以便更好地管理和归档...应用场景调试脚本：在编写和测试脚本时，使用Start-Transcript可以记录每一步操作和输出，帮助开发人员更好地理解脚本的执行过程和问题所在。...你可以打开该文件查看详细的会话记录。结论 Windows PowerShell的Start-Transcript命令是一个强大的工具，能够帮助用户记录会话中的所有操作和输出。

4681 0

PowerShell 技术在网络安全测试中的应用

这一行定义了一个字符串$code，其中包含一个 PowerShell 脚本块。这个脚本块接受一个名为$name的参数，并使用Write-Output命令输出一个问候消息。...Write-Output通常用来在 PowerShell 控制台输出文本。...的消息框。 Show方法在这里实际上会弹出一个小窗口，显示指定的消息，并等待用户点击 OK 按钮。这种类型的消息框通常用于显示信息、错误、警告或获取用户确认。...对于FileSystemWatcher事件， Write-Host「File created: (e.FullPath)」：这行命令输出被创建文件的路径。...() # 处理每个命令的输出 } 结语本文介绍了几种高级 PowerShell 技术在网络安全测试中的应用，展示了如何利用这些工具进行信息收集、网络监控、系统监控以及并行处理。

9551 0

传统.NET 4.x应用容器化体验（6）

1 关于Windows事件日志在以往基于IIS部署ASP.NET应用程序时，如果没有写指定日志的情况下，我们往往会使用Window事件日志来查看一些错误信息。...虽然事件日志的可读性和易用性不够好，但是还是可以帮助我们查看一些问题。...2 Docker下查看事件日志 Step1. 首先进入ASP.NET MVC容器实例内部： >docker exec -it powershell Step2....获取最新的20个事件日志，获得对应日志的Index： >Get-Eventlog -newest 20 application Index Time EntryType Source...从错误日志中可以看到，Config目录访问不到，经过调查发现，原来已有系统的IIS目录下有一个手动拷贝进去的Config目录（正确做法应该将其作为解决方案的一部分内容始终输出到release目录），于是乎将其拷贝到容器目录下

3462 0

通过Windows事件日志介绍APT-Hunter

APT-Hunter具有两个部分，它们可以一起工作以帮助用户快速获取所需的数据。该工具将用于加快Windows日志分析的速度，但永远不会取代深度日志分析。...使用安全日志检测可疑的枚举用户或组的尝试使用Powershell操作日志检测Powershell操作（包括TEMP文件夹）使用Powershell操作日志使用多个事件ID检测可疑的Powershell...命令使用Powershell日志使用多个事件ID检测可疑的Powershell命令使用终端服务日志从袜子代理检测连接的RDP 使用终端服务日志从公共IP检测连接的RDP 从计算机Powershell...使用安全日志检测可运行的可执行文件使用安全日志检测可疑的Powershell命令使用安全日志检测通过管理界面创建的用户使用安全日志检测Windows关闭事件使用安全日志检测添加到本地组的用户...Defender使用Windows Defender日志对恶意软件采取了措施检测Windows Defender无法使用Windows Defender日志对恶意软件采取措施使用Windows Defender

2.4K2 0

实用powershell命令

6F5FF66C-6775-42B0-86C4-47D41F2DA187/Win7AndW2K8R2-KB3191566-x64.zip image.png 解压后在Install-WMF5.1.ps1上右击“使用...PowerShell运行”，安装完成后重启生效，重启后原本PowerShell的图标会变，执行Install-WMF5.1.ps1前首先要运行powershell开启下“允许执行脚本”，命令是set-ExecutionPolicy...$PSVersionTable image.png 以下都是特别有用的powershell常用命令【获取日志】 Get-EventLog -LogName security //安全相关 Get-WinEvent...//获取某个文件的Hash值（算法SHA256） Get-WMIObject win32_Processor //获取CPU信息 Get-WmiObject Win32_VideoController...//获取显卡信息【获取Windows产品ID】 2种方式第一种：CMD命令行运行control system查看产品ID image.png 第二种：CMD命令行运行powershell，输入命令查看

3.3K3 0

漏洞情报｜微软Exchange多个高危漏洞风险通告

如果攻击者可以通过Exchange服务器的身份验证，则他们可以使用此漏洞将文件写入服务器上的任何路径。...使用此缓解措施仅能防御攻击的初始部分。如果攻击者已经具有访问权限或欺骗管理员打开恶意文件，则可以触发攻击链的其他部分。...AnchorMailbox路径中指定的特定于应用程序的日志来帮助确定采取了哪些操作。...Message Contains: System.InvalidCastException 或者可通过类似以下PowerShell命令，在应用程序事件日志中查询这些日志条目： Get-EventLog...云鼎实验室互动星球一个多元的科技社交圈 -扫码关注我们- ? 关注云鼎实验室，获取更多安全情报 ?

8271 0

Windows PowerShell：（

启动一个已停止的服务。 • Stop-Service。停止一个正在运行的服务。 • Suspend-Service。挂起一个服务。 2、日志 • Get-EventLog。...显示某个事件日志里的事件。 • Clear-EventLog。删除某个事件日志里的所有记录。 • Limit-EventLog。设置事件日志的区间和文件大小限制。 • New-EventLog。...在运行Windows Server的计算机上创建一个新的事件日志和事件源。 • Remove-EventLog。删除一个自定义的事件日志，并将此事件日志的所有的事件源删除注册。...建议使用可用于服务器管理器的 Windows PowerShell cmdlet。用法: ServerManagerCmd.exe 安装和删除角色、角色服务和功能。...也显示所有可用的角色、角色服务和功能列表，并显示在此计算机上安装了其中哪些内容。有关可以使用此工具指定的角色、角色服务和功能的详细信息，请参阅服务器管理器的“帮助”。

4K3 0

Windows应急响应之命令行排查

如果因为各种原因没法通过可视化界面操作，那就只能命令行检查排查Windows日志命令 PowerShell Get-WinEvent命令列出所有事件 Get-WinEvent -ListLog *...获取Security.evtx的日志： Get-WinEvent -FilterHashtable @{LogName='Security'} 获取事件ID为4624的Security日志： Get-WinEvent...10 powershell日志中4104和4100事件： Get-WinEvent -LogName Microsoft-Windows-PowerShell/Operational | Where-Object...https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.management/get-eventlog?...Path] [/m SearchMask] [/s] [/c Command] [/d[{+ | -}] [{MM/DD/YYYY | DD}]] 下表列出了在 /c Command 命令字符串中能够使用的变量

6691 0

调大动态端口范围解决tcpip告警

机器内外网出不去，其他异常没发现，事件查看器发现有tcp/ip来源的日志若干条调大动态端口范围解决tcpip告警事件ID4227:EVENT_TCPIP_TCP_TIME_WAIT_COLLISION...Powershell过滤： Get-EventLog -LogName System -Source Tcpip |Where-Object {$_.EventID -eq "4227" -or $_...EventID -eq "4231" -or $_.EventID -eq "4266"} |FT TimeGenerated,EventID,EntryType,Source,Message TCP/IP 无法建立传出连接...当以高速率打开和关闭传出连接时，会导致所有可用的本地端口被使用，并迫使 TCP/IP 重新使用本地端口进行传出连接，此时通常会产生这种错误。...为了最大限度地降低数据受到损坏的风险，在给定的本地终结点和给定的远程终结点之间的连续连接中， TCP/IP 标准需要等待一段最短的时间段。

2.9K2 0

用FullEventLogView分析日志

FullEventLogView比eventvwr的优势就不赘言了 http://www.nirsoft.net/utils/full_event_log_view.html 说下使用技巧外部机器.evtx...*.evtx 指定条件分析很方便：条件维度如下图比较多，时间、事件级别、事件ID、来源、描述等可以指定条件正向过滤，也可以指定条件反向过滤扩展：端口耗尽、tcpip相关的事件ID 4227,4231,4266...开关机相关的事件ID 12,13,6005,6006,6008,41,1074 攻击相关的事件ID 1014,7031,7032,30800,4227,4231,4266,140,4625 ProviderName...ID 8197,8198,12288,12289 这样过滤（一般来说用事件ID过滤效率高，过滤得快，如果用description里的字符串过滤，效率会差一些，过滤得慢）或者 powershell命令过滤日志举例...： tcpip来源的日志4227,4231,4266（如过滤到，则需要放大tcp动态端口范围、缩短timewait回收时间） Get-EventLog -LogName System -Source Tcpip

4.6K5 1

Windows PowerShell 实战指南-动手实验-15.11

任务1：创建一次性的后台作业来寻找C:驱动器中所有的Powershell脚本。...Invoke-Command -Command {dir *.ps1 -Recurse} -ComputerName (Get-Content allservers.txt) -AsJob 任务3：传建一个后台作业来获取计算机系统时间日志中最近的...解答： Register-ScheduledJob -Name eventlog2 -ScriptBlock { Start-Job -ScriptBlock { Get-EventLog -LogName...Wednesday,Friday -At 6am) -ScheduledJobOption (New-ScheduledJobOption -WakeToRun -RunElevated) 任务4：你为使用什么...Cmdlet来获取一个作业的结果，然后在作业队列中如何存放这些结果呢？

6371 0

点击加载更多

PS命令之中系统日志相关信息查看与管理

Get-WinEvent和Get-EventLog的区别及效率

PowerShell 基础篇

深入理解Windows中的Get-WinEvent命令

Windows事件日志终极指南

Windows数据中心蓝队PowerShell安全防护指南

Windows服务器出问题？别慌！教你几招日志排查绝技，让故障无处遁形

ElasticStack日志采集监控搭建实践案例

PowerShell 拿到最近的10个系统日志

windows: 了解 Windows PowerShell 会话记录工具 Start-Transcript

PowerShell 技术在网络安全测试中的应用

传统.NET 4.x应用容器化体验（6）

通过Windows事件日志介绍APT-Hunter

实用powershell命令

漏洞情报｜微软Exchange多个高危漏洞风险通告

Windows PowerShell：（

Windows应急响应之命令行排查

调大动态端口范围解决tcpip告警

用FullEventLogView分析日志

Windows PowerShell 实战指南-动手实验-15.11

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐