我正在使用如下 1 的 Powershell 命令读取事件日志:
get-winevent -Path "C:\Test.evtx" -oldest | convertto-xml -as Stream > "C:\Test.xml"
如您所见,我将结果存储在 XML 文件中以供以后阅读。
对于事件日志中的少数事件,我需要一个特殊的查询,如下所示:
$evtWithoutMsg = get-winevent -Path "C:\Test.evtx" | Where-Object {($_.RecordId -eq 53593)}
$xmlThing = [xml]$evtWithoutMsg.toxml()
$msg = $xmlThing.Event.EventData.Data
$msg
我的问题是我可以将这个“$xmlThing.Event.EventData.Data”作为新节点或初始命令的 xml 文件输出 (test.xml) 中的内容吗?