none
请教一下查询EventLog 的VBS中 objEvent.Message如何过滤输出我自己想要的东西? RRS feed

  • 问题

  • 尊敬的微软工程师,

    客户想查询EventLlog中异常关机和异常登录日志中描述信息的用户名 IP地址,但是脚本我看了一下无法从 objEvent.Message中过滤出这些信息,请教一下有啥其他办法吗?

    strComputer = "."
    Set objWMIService = GetObject("winmgmts:" _
     & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
    Set colLoggedEvents = objWMIService.ExecQuery _
     ("Select * from Win32_NTLogEvent Where Logfile = 'System'AND EventCode = 41 or Logfile = 'Security'AND EventCode = 4625")
    If colLoggedEvents.Count=0 Then
        WScript.Echo "nothing wrong"
    Else
       For Each objEvent in colLoggedEvents
          Wscript.Echo "Message: " & objEvent.Message
          Wscript.Echo "Time Written: " & objEvent.TimeWritten
       Next
    end If

          

    谷青松



    • 已编辑 谷青松 2019年9月19日 6:31 修改文字
    2019年9月19日 6:30

答案

  • 问题解决了。

    cscript /nologo CheckEventvbs.vbs |findstr /i "name address system">checkevent.log

    加参数|findstr /i "name address system"来过滤输出要的信息到指定路径Log文本日志。


    谷青松


    • 已标记为答案 谷青松 2019年9月23日 1:55
    • 已编辑 谷青松 2019年9月23日 1:56 修改文字描述
    2019年9月23日 1:55

全部回复

  • 问题解决了。

    cscript /nologo CheckEventvbs.vbs |findstr /i "name address system">checkevent.log

    加参数|findstr /i "name address system"来过滤输出要的信息到指定路径Log文本日志。


    谷青松


    • 已标记为答案 谷青松 2019年9月23日 1:55
    • 已编辑 谷青松 2019年9月23日 1:56 修改文字描述
    2019年9月23日 1:55
  • 你好,

    很高兴这个问题能够解决, 同时也感谢您的分享。

    如果有其它问题,欢迎随时访问TechNet论坛。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年9月24日 7:00