4

我只想从安全中导出事件 id 4624

下面的代码从安全中导出所有事件(我只想要 4624);

WEVTUtil query-events Security /rd:true /format:text > %~dp0Logins.txt /q:"<EventID>4624</EventID>"

当导出所有 4624 个事件时,我只想过滤事件:

<Data Name='LogonProcessName'>User32 </Data>

这将是带有 IP 的 RDP 日志,因为“Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational”中的日志没有 IP(只有用户名):(我听说这是因为 RDP 连接受 TLS 保护...

4

1 回答 1

3

我只想Event ID 4624从安全中导出

WEVTUtil query-events Security /rd:true /format:text > "%~dp0Logins.txt"<EventID>4624</EventID>"

您为该/q选项使用了错误的格式。

使用以下命令行:

wevtutil qe Security "/q:*[System [(EventID=4648)]]" /rd:true /f:text > "%~dp0Logins.txt"

如何将过滤器限制为Event ID 4624包含User32

当导出所有 4624 个事件时,我只想过滤事件:

<Data Name='LogonProcessName'>User32 </Data>

使用以下命令行:

wevtutil qe Security "/q:*[System [(EventID=4648)]]" /rd:true | findstr User32 >nul && wevtutil qe Security "/q:*[System [(EventID=4648)]]" /f:text /rd:true > "%~dp0Logins.txt"

基于以下源链接的代码。

Source如果仅符合特定文本或单词,如何使用 wevtutil 命令获取事件详细信息

延伸阅读

于 2016-09-25T20:49:47.443 回答