powershell - Powershell:特定のテキストを除外する方法は?

Question

削除されたファイルを迅速に監査するために、Windows セキュリティ イベント ログを CSV ファイルにエクスポートする必要があります。特に「メッセージ」フィールド内で、CSV ファイルに特定の行の情報が必要です。以下の私のコマンド：

Get-EventLog "Security" -before 4/10/2013 -InstanceId 4663 | select-object Index,TimeGenerated,Message | export-csv c:\export.csv

出力は次のようになります。

Index         : 244336
TimeGenerated : 4/9/2013 6:06:33 PM
Message       : An attempt was made to access an object.

            Subject:
                Security ID:        S-0-0-00-0000000-0000000-000000
            37-1111
                Account Name:        joeblow
                Account Domain:        contoso
                Logon ID:        0x888210

            Object:
                Object Server:    Security
                Object Type:    File
                Object Name:    C:\files\Important_doc.xls

                Handle ID:    0x2178

            Process Information:
                Process ID:    0x4
                Process Name:    

            Access Request Information:
                Accesses:    %%1537

                Access Mask:    0x10000

必要なのは、Index、TimeGenerated、Message->accountname、Message->object->objectname、および Message->object タイプだけです。以下のように、またはCSVでExcelで表示するのに十分きれいなもののように見えるように、それを除外するにはどうすればよいですか?

Index         : 244336
TimeGenerated : 4/9/2013 6:06:33 PM
Account name  : joeblow
Object type   : File
Object Name   : c:\files\Important_doc.xls

Answer 1

現在、そのエントリをテストするラボはありませんが、次のことを試してください。

Get-EventLog "Security" -before 4/10/2013 -InstanceId 4663 | % {
    New-Object psobject -Property @{
        Index = $_.Index
        TimeGenerated = $_.TimeGenerated
        "Account Name" = $_.ReplacementStrings[1]
        "Object Type" = $_.ReplacementStrings[5]
        "Object Name" = $_.ReplacementStrings[6]
    }
} | export-csv c:\export.csv -NoTypeInformation

EventLogEntry-object には、通常、メッセージで使用されるすべての変数を、テキストに表示されている順序で含むプロパティがReplacementStringsあります。$_.ReplacementStrings[0]そのメッセージの最初の変数は「セキュリティ ID」です。配列はゼロから始まるため、おそらく格納されています。だから、あなたの道を数えてください。