Powershell 查询 Windows 日志

论坛里面有人询问如何使用powershell脚本查询文件修改的审计日志,豆子服务器没开这个功能,不过尝试写了个类似的脚本可以查询日志,并输出对应的xml内容。基本方法是get-winevent, 可以指定对应的eventid,获取列表。如果想获取这个事件具体的内容,需要根据不同事件的xml内容进行变化。比如$Events = Get-WinEvent -ComputerName syddc01 -FilterHashtable @{Logname=’Security’;Id=4771} -MaxEvents 1
$eventXML = [xml]$Event.ToXml()
$eventxml.event.event.data根据这个思路,我如果想获取最新的20个4771的事件日志,并输出结果$Events = Get-WinEvent -ComputerName..
博主:beanxyz阅读全文返回推荐博文

发表评论