Описание тега get-winevent
Get-WinEvent — это командлет PowerShell, который получает события из журнала событий или списка журналов событий на локальных или удаленных компьютерах.
0
ответов
Get-EventLog не анализирует сообщение при запуске пользователем SYSTEM
проблема Я пытаюсь запланировать работу, которая отслеживает события на удаленных машинах. Я написал сценарий на основе Get-EventLog команда, и она работает правильно, когда запускается моей учетной записью. Но когда я бегу Get-EventLog как SYSTEM п…
28 сен '18 в 15:51
0
ответов
Получить sid из события и преобразовать его обратно в имя пользователя
Я пытаюсь использовать команду ниже, чтобы получить sid пользователя из определенного события, преобразовать его в имя пользователя и после этого выставить его значение. $sid = Get-Winevent -FilterHashtable @{Logname='system';ID=1065} -MaxEvents 1 |…
19 янв '17 в 14:32
0
ответов
get-winevent: невозможно отфильтровать определенное поле FailureReason %%2313
Я использую get-winevent для события 4625, потому что мне нужна причина сбоя, которая находится в поле xml события. Первое, что я попробовал, - это распечатать все поля, надеясь, что причина сбоя доступна где-то в пути к данным XML, но безуспешно. я…
14 фев '18 в 15:56
1
ответ
get-winevent -filterxpath против select-xml
Я пытаюсь понять xpath лучше, пытаясь то же самое в обоих select-xml и Get-WinEvent, Но, некоторые Get-WinEvent шаблоны не работают в Select-Xml, Я получил: Выражение должно вычисляться для набора узлов Это работает, если я поставлю "|" вместо перво…
05 фев '19 в 22:10
1
ответ
Запрос Powershell Get-WinEvent Xpath недействителен
Я бы знал, что не так в моем запросе? Get-WinEvent -LogName 'Application' -FilterXPath "/Event/System/Provider[@Name = 'My App']" Каждый раз, когда я получаю исключение ниже: *Get-WinEvent : La requête spécifiée n’est pas valide Au caractère Ligne:1…
23 окт '17 в 11:40
0
ответов
System.Management.Automation.RuntimeException при преобразовании из System.Diagnostics.Eventing.Reader.EventLogRecord в XML
Я сталкиваюсь с той же проблемой, как упомянуто в https://serverfault.com/questions/743515/my-event-log-has-corrupted-dacl-write-attributes-in-4656-file-audit-events/852636 где есть несколько недопустимых символов в журналах событий, и поэтому испол…
28 май '17 в 04:01
2
ответа
Извлечение событий входа / выхода из системы с помощью powershell
Мне нужно извлечь список локальных входов / выходов из системы с Windows 7. У меня есть сохраненная копия журнала событий безопасности в формате evtx, и у меня возникло несколько проблем. Следующий PowerShell извлекает все события с идентификатором …
26 июл '16 в 06:30
1
ответ
get-winevent: работа со свойствами
Я пытаюсь изучить PowerShell, чтобы автоматизировать некоторые повседневные задачи. Я пытаюсь выяснить все имена полей из функции get-winevent, чтобы понять, что мне нужно делать, когда я хочу отфильтровать результат из большого количества событий с…
29 янв '18 в 15:11
0
ответов
Ищем локализацию для сопоставления результатов Get-WinEvent -Listlog с путем config .xml
Для средства просмотра событий мне нужны стандартные viewconfigs для каждой записи в дереве событий. Эти channel_i.xml хранятся в $env:ProgramData\Microsoft\Event Viewer в папках в соответствии с древовидной структурой. К сожалению, кажется, что нет…
11 фев '19 в 12:11
1
ответ
Powershell - Get-WinEvent Заменить текст
У меня есть большой скрипт, который просматривает определенные журналы событий. Отчасти это следующая команда: Get-EventLog -ComputerName $computer -InstanceId 4625 -LogName Security -After $date -ErrorAction Stop | Select TimeWritten,@{n='Reason fo…
08 май '18 в 14:04
1
ответ
PowerShash FilterHashtable учетные данные
У меня проблемы с добавлением учетных данных в мою строку кода. Целью этого является извлечение нескольких журналов с одного компьютера и распечатка журналов в порядке времени. По какой-то причине я не могу заставить работать команду get-winevent, к…
02 ноя '18 в 04:02
1
ответ
Журнал Мониторинг нескольких компьютеров с Get-WinEvent
Из строки кода ниже, есть ли способ вызвать файл.txt для просмотра списка компьютеров? Я хочу, чтобы он просматривал журналы не только на одном компьютере, но и в списке компьютеров. $StartDate = (get-date).AddHours(-12) Get-WinEvent -FilterHashtabl…
20 сен '16 в 06:23
1
ответ
Добавить фильтр в Get-EventLog (на стороне сервера), возвращая только самые новые N записей
Есть ли способ отфильтровать записи журнала событий с помощью PowerShell перед их извлечением? т.е. Вместо: [string[]]$IgnoredSources = 'SomeValue','SomeOtherValue' Get-Eventlog -LogName $MyLog -ComputerName $MyComputer ` | ?{$IgnoredSources -notcon…
24 фев '16 в 10:20
1
ответ
PowerShell, странное поведение Get-WinEvent -FilterHashTable ID и массивов
Что я хочу сделать? Я бегу Get-WinEvent функция с -FilterHashTable предоставляя массив интересных идентификаторов событий для ID аргумент. $IDS = 4720,4722,4723,4724,4725,4726,4727,4728,4729,4730,4731,4732,4733,4734,4735,4737,4738,4740,4741,4742,474…
28 сен '18 в 14:03
0
ответов
C++ SetWinEventHook проблема с 32- и 64-разрядными приложениями
Я пытаюсь подключить виноделы, такие как EVENT_SYSTEM_MOVESIZESTART и EVENT_SYSTEM_MOVESIZEEND, ко всем окнам рабочего стола. Для этого я использовал SetWinEventHook(). Вот мой пример кода. BOOL DlmSetEventHook() { if (hInstance == NULL) return FALS…
12 ноя '17 в 16:19
0
ответов
Фильтр get-winevent по дате и времени
При изучении чего-либо на компьютере журналы событий - это первое, на что нужно обратить внимание. Обнаружение того, что происходит на компьютере в течение определенного периода времени, похоже на поиск иголки в стоге сена, но зачастую единственное,…
28 фев '18 в 11:09
1
ответ
PS Get-WinEvent бросить "Дескриптор недействителен"
У меня есть список имен хостов, из которых я хотел бы извлечь все журналы событий, связанные с AppLocker, особенно те, которые содержат предупреждение об уровне и / или ошибку. Я создал этот скрипт: $ComputersToCheck = Get-Content 'X:\ListWithTheNam…
02 мар '16 в 15:04
1
ответ
get-winevent: Поле свойства, заполненное System.String[] после удаления описательных частей содержимого
Я пытаюсь отфильтровать журналы событий, который работает нормально, за исключением поля сообщения в запросе. Поле сообщения содержит много описательного текста. Я хочу только первое предложение, потому что это важное, остальное мусор. Пример содерж…
02 фев '18 в 15:21
2
ответа
Как получить Powershell > Get-WinEvent > Безопасность> Сообщение> Маска доступа, которая соответствует 0x1 или 0x4
Как получить идентификатор безопасности 4663, где сообщение 0x1|0x4| и т. Д. Я пробовал другой код, я только хочу зарегистрировать около 5 кодов в CSV, я могу экспортировать в CSV, и я могу получить только 4663 идентификаторов, но я не могу фильтров…
28 янв '19 в 16:22
1
ответ
Выбор определенных строк / данных из сообщения Get-Winevent в powershell
Я пытаюсь извлечь конкретную строку из вывода сообщения командлета get-winevent и не смог найти способ сделать это (возможно, я искал неправильно, но все еще изучаю более сложные методы сценариев). Что я бегу это: Get-WinEvent -ComputerName $DC -Fil…
24 мар '16 в 14:30