Get-WinEvent选择数据项1中的时间和字段

内容来源于 Stack Overflow,并遵循CC BY-SA 3.0许可协议进行翻译与使用

  • 回答 (1)
  • 关注 (0)
  • 查看 (7)

我试图查看7045中我能够提取路径名称的所有事件。但是我想要选择事件的时间戳呢?

Get-WinEvent -Path ".\System.evtx" |
  where {$_.id -eq "7045"} |
    Foreach {([xml]$_.ToXml()).GetElementsByTagName("Data").itemOf(1)} |
      Select -ExpandProperty "#text" -Unique

Get-WinEvent -Path ".\System.evtx" |
  where {$_.id -eq "7045"} |
    Foreach {([xml]$_.ToXml()).GetElementsByTagName("Data").itemOf(1)} | 
      Select -ExpandProperty "#text" -Unique

Get-WinEvent -Path ".\System.evtx" |
  where {$_.id -eq "7045"} |
    Foreach {([xml]$_.ToXml()).GetElementsByTagName("Data").itemOf(0)} |
      Select -ExpandProperty "#text" -Unique

我想获得输出TimeCreated,服务名称,服务路径

在有2个查询的时刻,我可以获得服务名称,然后获取服务路径?

提问于
用户回答回答于

这可能会这样做:

Get-WinEvent -FilterHashtable @{LogName='System'; ID=7045} |
    Select-Object -Property TimeCreated, 
                            @{Label='Service Name'; Expression={$_.properties[0].Value}}, 
                            @{Label='Service Path'; Expression={$_.properties[1].Value}}

扫码关注云+社区

领取腾讯云代金券