問題タブ [get-winevent]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
powershell - Powershell - Get-WinEvent
この「レベル」が Get-WinEvent の実行を意味することを理解するために、私はあちこちを見てきました。
例えば、
ここで何level=2を表しているのですか?私が尋ねている理由は、各ログの重大度を検証しようとしており、それlevel=2が重大度に関連するものを表しているからです。
powershell - Get-EventLog (サーバー側) に Filter を追加し、最新の N レコードのみを返す
PowerShell を使用してイベント ログ エントリを取得する前にフィルター処理する方法はありますか?
すなわち
それ以外の:
何かのようなもの:
より詳しい情報
where-object引き戻された結果をフィルタリングするステートメントを追加できることは承知しています。しかし、それはサーバー側でフィルタリングするよりも効率が悪く、フィルタリングされた後に のようなコマンドが-Newest 100必ずしも 100 の結果を返すとは限らないことを意味します (つまり、イベント ログ全体をプルバックして、確実に最新のものを取得する必要があります)。
-Afterまた、日付についてはと-Before属性を介してこれが可能であり、 と のリストを提供してそれらに制限できることも認識してい-Usernameます-Source。ただし、1 つのソースを除外したり、イベント ID の範囲でフィルター処理したりする場合は、現時点では方法がないようです。
Get-WmiObjectの代わりにを使用することを検討しましたGet-EventLogが、これによりサーバー側でフィルタリングを行うことができますが、返される結果の数を制限する方法を特定できませんでした (つまり、ソートする前にマシンに返され、 を使用してフィルタリングしますselect-object)-first結果を下げる)。
powershell - PS Get-WinEvent throw 'ハンドルが無効です'
AppLocker に関連するすべてのイベント ログ、特にレベルが警告またはエラーのイベント ログを抽出したいホスト名のリストがあります。私はこのスクリプトを作成しました:
これはしばらくは機能しますが、一定時間後にエラーが発生しました。
そして、スクリプトが次のようなエラーを出し始めた直後:
私の最初の考えは、スクリプトが到達しようとしているホストに関連しているということでしたが、リストの次は前のものと同じタイプ (Os、同じモデルでも) です。
スクリプトを 3 回実行しましたが、毎回出力サイズが異なっていました (おそらく、同じホストが同じ量のログでオンラインになっているわけではないためです)。スクリプトは 700 を超えるホストに対して実行する必要があります。このホストには、Get-Credential によってプロンプトを表示し、変数に格納して Get-WinEvent にパラメーターとして渡す特別なアカウントが必要です。
正直なところ、私はこの問題に固執していましたが、何が原因で、その理由がよくわかりません.
誰かがアイデアを持っている場合は、私と共有してください:)
windows - `Get-WinEvent` と DateCreated イベントのプロパティを介して正確なイベントのシステム時間を取得する方法は?
イベントを CSV ファイルにエクスポートするスクリプトを作成しています。正確なシステム時間で行を追加したい。SystemTimeのプロパティを抽出する方法がわかりませんTimeCreated。すなわちこれ:
以下は、現在の出力のサンプルです。
アップデート
を追加できます-ExpandProperty TimeCreatedが、これにより などの余分な列が追加され、それらに対して機能するDay, DayOfWeek, DayOfYear, Hour, Kind, Milliseconds, Minute, Month, Second, Ticks, TimeOfDayようには見えません-ExcludeProperty。
powershell - System.Diagnostics.Eventing.Reader.EventLogRecord から XML への変換時の System.Management.Automation.RuntimeException
https://serverfault.com/questions/743515/my-event-log-has-corrupted-dacl-write-attributes-in-4656-file-audit-events/852636#で述べたのと同じ問題が発生してい ます。 852636イベント ログに無効な文字が含まれているため、.ToXML() を使用すると次の例外で失敗します。
System.Management.Automation.RuntimeException 値を変換できません "http://schemas.microsoft.com/win/2004/08/events/event'>
無関係なデータを省略
「System.Xml.XmlDocument」と入力します。エラー: 「''、16 進値 0x04 は無効な文字です。19 行目、117 番目の位置。」
無効な文字を削除するにはどうすればよいですか? 以下のようなプロセスが考えられます。
- 文字列への変換 (ToString() は機能していないようです。Write-Host を介して出力すると、オブジェクト タイプの名前が出力されるだけです)
- .replace と regex を使用して無効な XML 文字を削除する
- System.Diagnostics.Eventing.Reader.EventLogRecord オブジェクトに戻す/シリアル化する (どういうわけか?)
- XML に変換 (.ToXML() を使用)
このプロセスのステップ 1 と 3 を達成するにはどうすればよいですか?