我只想从安全中导出事件 id 4624
下面的代码从安全中导出所有事件(我只想要 4624);
WEVTUtil query-events Security /rd:true /format:text > %~dp0Logins.txt /q:"<EventID>4624</EventID>"
当导出所有 4624 个事件时,我只想过滤事件:
<Data Name='LogonProcessName'>User32 </Data>
这将是带有 IP 的 RDP 日志,因为“Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational”中的日志没有 IP(只有用户名):(我听说这是因为 RDP 连接受 TLS 保护...
Event ID 4624从安全中导出WEVTUtil query-events Security /rd:true /format:text > "%~dp0Logins.txt"<EventID>4624</EventID>"
您为该/q选项使用了错误的格式。
使用以下命令行:
wevtutil qe Security "/q:*[System [(EventID=4648)]]" /rd:true /f:text > "%~dp0Logins.txt"
Event ID 4624包含User32?当导出所有 4624 个事件时,我只想过滤事件:
<Data Name='LogonProcessName'>User32 </Data>
使用以下命令行:
wevtutil qe Security "/q:*[System [(EventID=4648)]]" /rd:true | findstr User32 >nul && wevtutil qe Security "/q:*[System [(EventID=4648)]]" /f:text /rd:true > "%~dp0Logins.txt"
基于以下源链接的代码。
Source如果仅符合特定文本或单词,如何使用 wevtutil 命令获取事件详细信息