論壇裡面有人詢問如何使用powershell指令碼查詢檔案修改的審計日誌,豆子伺服器沒開這個功能,不過嘗試寫了個類似的指令碼可以查詢日誌,並輸出對應的xml內容。
基本方法是get-winevent, 可以指定對應的eventid,獲取列表。如果想獲取這個事件具體的內容,需要根據不同事件的xml內容進行變化。
比如
$events = get-winevent -computername syddc01 -filterhashtable @ -maxevents 1根據這個思路,我如果想獲取最新的20個4771的事件日誌,並輸出結果
有的時候,事件的數目很多,我希望對這個時間進行乙個限制。千萬別用 where-object 的方式來過濾,不然等到地老天荒也未必出結果。
我們需要通過雜湊表來過濾
$endtime=get-date另外一種常見的方式是通過xmlfilter來過濾日誌$starttime=$endtime.addminutes(-1)
$eventcritea = @
首先,我們可以通過event viewer來自定義乙個xpath
因為是不同的事件,他的eventdata結果是不一樣的,因此我做了些變動。
[xml]$xmlfilter = @"「@#get-winevent -computername $dc.dc -logname security -filterxpath "*[system[(eventid=529 or eventid=644 or eventid=675 or eventid=676 or eventid=681 or eventid=4625) and timecreated[timediff(@systemtime) <= 86400000]]]" #-maxevents 50
$events = get-winevent -computername syddc01 -filterxml $xmlfilter
foreach ($event in $events)
}
結果如下
最後再給乙個例子,我希望獲取lockout使用者的資訊以及他們是在**被鎖住的,這個日誌我們檢視4771或者4740。4771的日誌過多,查詢太慢,所以這裡我已4740為例。
PowerShell 查詢 Excel記錄
豆子的兼職是澳洲 提供澳洲直郵或者國內供貨,需要的可以聯絡 比如,我有很多xlsx快遞單號文件,格式大概是這樣的 有的時候,為了查詢某個訂單號,需要檢視qq聊記錄找到對應的發貨單記錄 然後還得找到當天對應的excel 非常麻煩,往往為了查詢乙個單號需要折騰2分鐘。為了解決這個查詢的問題,豆子用pow...
Win10 powershell字型設定
win10 自帶的console英文本型有點醜,想修改下?參考了這篇文章 什麼,powershell還有配置檔案?是的,有!每次執行powershell的時候會自動執行 profile 裡的 建立 new item path profile type file force檢視配置 新增如下 修改這裡...
PowerShell命令解除安裝Win10內建應用
windows10系統預裝了大批的應用,開始選單右側的磁貼即顯示了其中的大部分,包括 人脈 日曆 郵件 資訊 xbox groove camera相機 電影和電視 手機助手 天氣 onenote 應用商店 紙牌遊戲 錄音機等。本人有點強迫症 想要解除安裝,這些預裝應用很多都未提供解除安裝選項。網上搜...