/ / uzyskać czas na przekazane wydarzenia z Get-winevent? - wydarzenia, PowerShell

uzyskać czas przekazanych wydarzeń dzięki Get-winevent? - wydarzenia, powershell

Dobry dzień. Próbuję filtrować dzienniki za pomocą get-winevent. Kiedy pracuję z dziennikami lokalnymi jako zabezpieczenia, system itp. Wszystko jest w porządku. StartTime działa poprawnie.

$yesterday = (get-date) - (new-timespan -day 1)
$a = get-winevent -FilterHashTable @{LogName="system"; StartTime=$yesterday}

Kiedy próbuję użyć tego polecenia z „przekazanymi zdarzeniami”, pojawia się błąd: „Get-WinEvent: Nie znaleziono zdarzeń, które pasowałyby do określonych kryteriów wyboru”. Problem tylko z „StartTime” i „EndTime”.

Czy ktoś wiedział, gdzie jest problem?

Odpowiedzi:

1 dla odpowiedzi № 1

W przypadku tego typu dzienników należy użyć zapytania xpath, które jest skomplikowane.

$query=@"
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Dhcp-Client/Admin">
<Select Path="Microsoft-Windows-Dhcp-Client/Admin">*[System[TimeCreated[timediff(@SystemTime) &lt;= 2592000000]]]</Select>
</Query>
</QueryList>
"@

get-winevent -LogName Microsoft-Windows-Dhcp-Client/Admin -FilterXPath $query

Nie mam nic w ForwardedEvents, więc mamużywał innego dziennika. Najlepiej jest użyć EventViewer do zbudowania zapytania, a następnie skopiować i wkleić plik XML. Najprawdopodobniej będziesz musiał bawić się znakami cudzysłowu.

Powiązane pytania

Przeglądarka zdarzeń systemu Windows: niepowodzenie kontroli eksportu do pliku CSV - xml, powershell, csv, security, event-viewer
Aby wyodrębnić informacje o zdarzeniach inspekcji z pliku .evtx z dziennika Windows - Windows, PowerShell, Audyt, Logparser
Powershell: Usuń informacje z zwracanych wyników Get-WinEvent - ciąg znaków, powershell
Zadanie PowerShell nieoczekiwanie zwraca obiekt „System.Management.Automation.PSObject” zamiast System.Object - powershell, dziennik zdarzeń, zadanie startowe
Wyszukiwanie w trybie Powershell za pomocą jednego i wielu słów kluczowych - powershell, powershell-v2.0, powershell-v3.0, powershell-ise
Powershell Get-Winevent Filterhashtable - powershell
Zastąp pułapkę funkcją powershell, przesyłając dzienniki zdarzeń - powershell, wmi
powershell - pobieraj tylko dzienniki zdarzeń niepowodzenia audytu - powershell, hashtable, event-log
Przyrosty początkowe zadania PowerShell - powershell, powershell-v2.0, powershell-v3.0
Możliwe, że lista wydarzeń zostanie pobrana z końcówką czasu później niż dzisiaj? - php, facebook, api, wydarzenia, facebook-graph-api
Używanie mapy w pustym kontekście? - perl
SQL, jak wybrać najnowszy znacznik czasu według wartości? - mysql, sql, group-by, znacznik czasu
Jak zaimplementować replaySubject zamówiony jednorazowo? - java, rx-java, obserwowalny, rx-scala
Wysyłaj dokładne dane wyjściowe Powershell w treści HTML - html, powershell, html-email
Jak pobrać wydarzenia z Kalendarza Google jako listę w PHP? - kalendarz Google
Powershell: parametry funkcji - zdarzenia, powershell, przeglądarka zdarzeń
Jak znaleźć wszystkie zdarzenia kompilacji w moim rozwiązaniu - c #, visual-studio
Lista zdarzeń dla języka C # podobnego do edytora VB.NET - c #, asp.net, visual-studio
lazurowe zdarzenie typu eventhub podczas odczytywania przez analitykę strumieniową - lazur, lazur-eventhub, azure-stream-analytics
Android ContractCalendar Bieżące wydarzenia - Android, kalendarz