Question

Добрый день. Я пытаюсь отфильтровать логи с помощью get-winevent. Когда я работаю с локальными журналами безопасности, системы и т. Д., Все в порядке. StartTime работает правильно.

$yesterday = (get-date) - (new-timespan -day 1) 
$a = get-winevent -FilterHashTable @{LogName='system'; StartTime=$yesterday}

Когда я пытаюсь использовать эту команду с «переадресованными событиями», возникает ошибка: «Get-WinEvent: не найдено событий, соответствующих указанным критериям выбора». Проблема только с «StartTime» и «EndTime».

Кто-нибудь знал, в чем проблема?

Jeffery Hicks · Answer 1 · 10 февраля 2012

Для этих типов журналов вам нужно использовать запрос xpath, который сложен.

$query=@"
<QueryList>
  <Query Id='0' Path='Microsoft-Windows-Dhcp-Client/Admin'>
    <Select Path='Microsoft-Windows-Dhcp-Client/Admin'>*[System[TimeCreated[timediff(@SystemTime) &lt;= 2592000000]]]</Select>
  </Query>
</QueryList>
"@

get-winevent -LogName Microsoft-Windows-Dhcp-Client/Admin -FilterXPath $query

У меня ничего нет в ForwardedEvents, поэтому я использовал другой журнал. Лучше всего использовать EventViewer для создания запроса, а затем скопировать и вставить XML. Скорее всего, вам придется возиться с кавычками.

получить время переадресованных событий с Get-winevent?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

получить время переадресованных событий с Get-winevent?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов