1

如何正确使用关键字属性仅获取审核失败事件日志?我相信失败日志的关键字是 -9218868437227405312 并试图做

$filter=@{
    logname='security'
    providername='Microsoft-Windows-Security-Auditing'
    keywords=-9218868437227405312
}
get-winevent -filterhashtable $filter

但我得到了不想要的结果,包括成功事件。

还是有另一种使用 get-winevent 获取审计失败日志的方法?

4

1 回答 1

1

我会使用Get-EventLog而不是Get-WinEvent. 当我比较两者时,它大约快了 10 倍。

Get-EventLog Security -EntryType FailureAudit
于 2013-07-19T09:20:28.477 回答