我正在尝试控制对特定文件夹的访问,因此我启用了审核对象访问策略,并且还启用了对所需文件夹的审核。现在我计划在 CSV 文件中查看这些访问。
我有以下脚本应该可以实现这一点
$OutputFileName = "EventsFrom-{0}.csv" -f (Get-Date -Format "MMddyyyy-HHmm")
Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4656} | Select-Object -Property TimeGenerated, MachineName, @{n='AccountName';e={$_.ReplacementStrings[1]}} | Export-CSV c:\scripts\$OutputFileName -NoTypeInformation
但条件
Where-Object {$_.EventID -eq 4656}
导致生成的 CSV 文件完全为空(即使没有表头)。但是,当我更改事件 ID(从 4656 到类似 4673)或完全删除条件时,我确实会在生成的 CSV 上得到结果。此外,当我使用 ID 4656 过滤结果时,从事件查看器中会显示结果。现在我真的不知道该怎么办。提前感谢您的帮助。
如果有人可以帮助我找出原因,我将不胜感激。我在 PS 脚本方面并没有太多经验,因此详细解释为什么会发生这种情况(或我的问题的实际解决方案)将非常有帮助。