Powershell: как извлечь информацию для входа из журнала событий безопасности Windows?

Question

Как я могу использовать Powershell для чтения и извлечения информации из журнала безопасности окна?

Я хотел бы иметь «Тип входа», «Идентификатор безопасности», «Имя рабочей станции» и «Исходный сетевой адрес»в выходном файле.

Я мог бы найти много информации о том, как Powershell может получать содержимое из журналов событий.

Answer 1

Вы пробовали смотреть на событие xml?https://blogs.technet.microsoft.com/ashleymcglone/2013/08/28/powershell-get-winevent-xml-madness-getting-details-from-event-logs/

Answer 2

это должно сделать эту работу:

$result = Get-EventLog -LogName Security -InstanceId 4624 |
   ForEach-Object {
     [PSCustomObject]@{
     Time = $_.TimeGenerated
     Machine = $_.ReplacementStrings[6]
     User = $_.ReplacementStrings[5]
     Access = $_.ReplacementStrings[10]
     SourceAddr = $_.ReplacementStrings[18]
     }
   }

$result | Select-Object Time, Machine, User, Access, SourceAddr |  Export-Csv -NoTypeInformation -Path .\Access_Log.csv

Примечание: если он запущен на контроллере домена, в переменной «Machine» будет отображаться имя домена, а в переменной User будут отображаться как пользовательские, так и компьютерные доступы.