Привет я сделать Powershell скрипт, в котором мне нужно фильтровать бревнажурналы фильтров событий с помощью Get-WmiObject
$logFile = Get-WmiObject Win32_NTEventlogFile | Where-Object {$_.logfilename -eq 'Application'}
В статье в Where-Object Мне нужно фильтровать с помощью EVENTID, источник (поставщика), начало времени и времени окончания.
Кажется, я не понимаю, как включить эти параметры. Пожалуйста помоги.
Лучше использовать Get-WinEvent или Get-EventLog командлетов для этой задачи:
Get-WinEvent -LogName Application |
Where-Object {$_.Id -eq 903 -and $_.ProviderName -match "office" `
-and $_.TimeCreated -gt ((Get-Date).AddHours(-6))}
Конечно, вы можете использовать гораздо умнее и быстрее, используя фильтры -FilterXPath, -FilterXml и -FilterHashtable параметров.
для получения дополнительной информации: https://technet.microsoft.com/en-us/library/hh849682.aspx
Чтобы экспортировать файл событий можно использовать WEVTUTIL:
wevtutil epl System c:\temp\system.evtx
для получения дополнительной информации: https://technet.microsoft.com/en-us/library/cc732848.aspx
загрузить его из файла:
Get-WinEvent -Path c:\temp\system.evtx
Спасибо Авшалом. Проблема в том, что я хочу .evtx l og файл. И это невозможно с Get-WinEvent. Это? Возможно ли получить журналы системы, безопасности и приложений в одном файле .evtx с Get-EventLog? Я знаю, что мы можем получать отдельные файлы, но не одно. – Akshay
Вы определяете запрос, используя «Get-EventLog», затем экспортируете его с помощью одного из командлетов «Экспорт». Например, 'Export-CSV' – user4317867
Ребятам нужно экспортировать журналы в файл .evtx. Я знаю, что могу получить csv или прочитать из файла. Но мне нужно экспортировать в файл evtx. Пожалуйста помоги. – Akshay