积极答复者
如何用Powershell脚本查询windows日志

问题
答案
全部回复
-
你好,
以管理员权限运行Powershell,输入以下命令:
Get-WinEvent -FilterHashtable @{LogName = 'Security'; Id = 4663} | ForEach-Object {
$xml = [xml] $_.ToXml()
if ($xml.Event.EventData.Data[6].'#text' -like 'C:\Windows\servicing\Sessions\30661512*') {
$_ | Select-Object @{Name = 'SubjectUserName'; Expression = {$xml.Event.EventData.Data[1].'#text'}}, @{Name = 'ObjectName'; Expression = {$xml.Event.EventData.Data[6].'#text'}}
}
}
请注意替换 like 后面的路径 *代表通配符。
更多信息,请参考下面的链接:
Frank
Please remember to mark the replies as an answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com- 已编辑 frank_songMicrosoft contingent staff, Moderator 2018年4月25日 2:21
-
你好,
基于组合查询的复杂性,我们需要做更多的研究。
建议你重开一个主题,我们将尽快为你解决。
Best Regards,
Frank
Please remember to mark the replies as an answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com