Question

Я пытаюсь просмотреть все события в 7045, где я могу извлечь путь.Однако я хочу также выбрать временную метку события?

Get-WinEvent -Path ".\System.evtx" |
  where {$_.id -eq "7045"} |
    Foreach {([xml]$_.ToXml()).GetElementsByTagName("Data").itemOf(1)} |
      Select -ExpandProperty "#text" -Unique

Get-WinEvent -Path ".\System.evtx" |
  where {$_.id -eq "7045"} |
    Foreach {([xml]$_.ToXml()).GetElementsByTagName("Data").itemOf(1)} | 
      Select -ExpandProperty "#text" -Unique

Get-WinEvent -Path ".\System.evtx" |
  where {$_.id -eq "7045"} |
    Foreach {([xml]$_.ToXml()).GetElementsByTagName("Data").itemOf(0)} |
      Select -ExpandProperty "#text" -Unique

я хочу получить выходные данные TimeCreated, Service Name, Service Path

В данный момент с 2 запросами я могу получитьимя службы и затем путь службы?

TessellatingHeckler · Answer 1 · 02 июня 2019

Это может сделать это:

Get-WinEvent -FilterHashtable @{LogName='System'; ID=7045} |
    Select-Object -Property TimeCreated, 
                            @{Label='Service Name'; Expression={$_.properties[0].Value}}, 
                            @{Label='Service Path'; Expression={$_.properties[1].Value}}

Get-WinEvent Выберите время и поле в элементе данных 1

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Get-WinEvent Выберите время и поле в элементе данных 1

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы