4

我想account name从事件日志中的消息属性中提取。例如,我正在运行以下命令:

get-eventlog -computername dc-01 -logname security | ?{$_.eventid -eq "4674"} | convertto-html -property machinename,eventid,entrytype,message | out-file c:\test.html

我希望能够account name退出消息,但对于特定用户来说不是必需的。理想情况下,它会创建另一个名为Account Name我们可以排序的列

4

1 回答 1

4

查看每个事件的 ReplacementStrings 属性的第二项。它包含嵌入在消息中的值。

get-eventlog -computername dc-01 -logname security | ?{$_.eventid -eq "4674"} | 
select machinename,eventid,@{n='AccountName';e={$_.ReplacementStrings[1]}},entrytype,message | 
convertto-html | out-file c:\test.html
于 2013-04-17T14:05:04.680 回答