#css #powershell #filtering #event-log
#css #powershell #Фильтрация #Журнал событий
Вопрос:
Как следует из названия, есть ли способ отфильтровать сведения из раздела сообщений журнала событий 4720? Я только хочу извлечь имя учетной записи субъекта и имя целевой учетной записи, у меня в настоящее время есть приведенный ниже код. Он получает необходимую информацию, но я хочу отфильтровать ее немного больше.
# CSS style
$css= "<style>"
$css= $css "BODY{ text-align: center; background-color:white;}"
$css= $css "TABLE{ font-family: 'Lucida Sans Unicode', 'Lucida Grande', Sans-Serif;font-size: 12px;margin: 10px;width: 100%;text-align: center;border-collapse: collapse;border-top: 7px solid #004466;border-bottom: 7px solid #004466;}"
$css= $css "TH{font-size: 13px;font-weight: normal;padding: 1px;background: #cceeff;border-right: 1px solid #004466;border-left: 1px solid #004466;color: #004466;}"
$css= $css "TD{padding: 1px;background: ##FFFFFF;border-right: 1px solid #004466;border-left: 1px solid #004466;color: #669;hover:black;}"
$css= $css "TD:hover{ background-color:#e5f7ff;}"
$css= $css "</style>"
$StartDate = (get-date).AddDays(-1)
$body = Get-WinEvent -FilterHashtable @{logname="Security"; starttime=$StartDate; ID=4720} -ErrorAction SilentlyContinue
$body | ConvertTo-HTML -Head $css ID,TimeCreated,Message > C:UserCreated.html
Ответ №1:
измените так
Get-WinEvent -FilterHashtable @{logname="Security"; starttime=$StartDate; } | Where-Object id -EQ 326| select ID,TimeCreated,Message | ConvertTo-HTML -Head $css ID,TimeCreated,Message > C:UserCreated.html