我正在尝试根据今天的日期通过 PowerShell 从事件日志中提取一些信息。

到目前为止，我有以下代码：

现在我打印了今天的结果，可以确认输出的日期是 04/12/2017，我还打印了TimeGeneratedEventID 对象中属性的日期，并且还以相同的格式显示了日期。

关于我哪里出错的任何想法？

我想存储以下输出：

在 Excel 电子表格中。

我试着做：$Application | Out-File E:\app.csv;

我得到的输出为：

如您所见，列在 excel 电子表格中没有单独对齐，列值/内容也不完整并以 (...) 结尾。

我想正确存储每列在 excel 电子表格中保存的完整值。

我正在尝试通过 powershell 在安全事件日志中找到最旧的保留事件。

使用以下命令：(Get-EventLog Security | Sort-Object -Property Time -Descending)

这将返回一个至少没有排序的列表。我在这里做错了什么？

我是 Powershell 的新手。我正在尝试获取有关帐户管理审计的几个事件 IDS 的信息。我知道我写的脚本效率不够，但我认为这不是问题所在。出于某种原因，即使我生成了一些事件并且它们显示在 EventViewer 中，我也没有得到事件 ID 4781 的输出。对于 4720,4726,4722 等事件 ID，我可以使用相同的脚本将它们正常记录在输出文件中。有人知道为什么吗？

目前我得到输出：操作：用户创建时间：31-08-2018 2:55 谁：管理员用户：test2

========= UPDATE 04/09/2018 因此，Get-EventLog 似乎只获取了一些 EventID，这就是为什么我错过了其中一些，例如 4781。我转换为 Get-WinEvent，似乎这个获取所有需要的 EventID。编辑代码：

现在，关于如何使用上面看起来的 Write-Output 获取信息，例如谁进行了更改以及哪个用户的任何帮助？

问题

我正在尝试安排一个监视远程机器上事件的作业。

我根据Get-EventLog命令编写了脚本，并且在我的帐户运行时它可以正常工作。但是当我Get-EventLog以SYSTEM用户身份运行时，.Message返回对象的属性显示以下错误：

找不到源“Microsoft-Windows-Security-Auditing”中事件 ID“4724”的描述。本地计算机可能没有必要的注册表信息或消息 DLL 文件来显示消息，或者您可能没有访问它们的权限。以下信息是事件的一部分：{somedata}

当我Get-WinEvent以用户身份使用该命令时SYSTEM，问题不会出现并且.Message部件显示正确。

我会坚持下去Get-WinEvent，特别是因为数据更容易解析（多亏了该ToXML()方法），但Get-EventLog恰好速度非常快:(

问题

有谁知道为什么用户运行时Get-EventLog无法渲染以及如何修复它？.MessageSYSTEM

为了避免明显的答案：

• 该COMPUTER$帐户是DOMAIN\Event Log Readers组的成员，
• 该COMPUTER$帐户确实HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security对远程计算机具有读取权限，
• 显然，源计算机和目标计算机上的注册表项Microsoft-Windows-Security-Auditing和相关 DLL 是相同的。

我有以下代码枚举所有事件日志源并获取最近几天的错误和警告。

它目前按日志名称排序，然后在下面逐行列出所有相关条目。

我想修改代码，以便它继续按日志提供程序名称分组，但在下面我希望它通过计数每个唯一条目来总结。输出将排除日期，但会列出 Id、Level、Message 和一个新的“count”属性，其中列出了 Id 发生的次数。

我无法得到我正在寻找的结果。有什么建议么？

我正在尝试使用 Get-WinEvent Powershell cmdlet 导出 Windows 日志。以下将为我提供我正在寻找的时间精度，但这只会让我获得时间戳。我需要将时间戳加入其他列，包括机器名称、事件 ID 等。

这段代码让我得到了准确的时间戳。

输出看起来像这样，这就是我想要的：

但我需要输出包含精确时间以及 MachineName、EventID、LevelDisplayName、Message 等内容。所以在下面的命令中，我想插入精确时间，而不是“TimeCreated”。

谢谢！

我在用：

这对我来说很完美。如果可能的话，我想扩展并说如果事件发生超过 5 次则写输出。如同：

我将在 SQL 中使用的 Count(*) > 5。

我在获取 EventLog 和保存数据时遇到了一些问题。我能够获取我的事件日志，但不能从网络计算机获取日志。

这是我正在运行的代码：

我一直在编写一个脚本来从事件日志中提取登录/注销历史记录。问题是我发现的几乎每个代码示例都使用“Get-EventLog”，它确实有效，但由于服务器上的事件日志比典型的工作站大得多，因此处理速度非常慢。因此，我选择了“Get-WinEvent”，因为它提供了非常相似的结果，但会在几秒钟内返回结果。我遇到的问题是将所述结果的输出操作为可用的形式。非常感谢任何帮助！

更新：我能够自己慢慢解决这个问题。详情见评论。感谢任何正在调查此问题的人:)

原始工作代码（Get-EventLog - 慢速输出）

(Get-WinEvent) - 几乎即时的结果