Events 使用get winevent获取转发事件的时间?
你好。 我正在尝试使用get winevent筛选日志。当我处理本地日志,如安全、系统等时,一切正常。开始时间工作正常Events 使用get winevent获取转发事件的时间?,events,powershell,Events,Powershell,你好。 我正在尝试使用get winevent筛选日志。当我处理本地日志,如安全、系统等时,一切正常。开始时间工作正常 $yesterday = (get-date) - (new-timespan -day 1) $a = get-winevent -FilterHashTable @{LogName='system'; StartTime=$yesterday} 当我尝试将此命令用于“转发事件”时,出现错误:“Get WinEvent:未找到与指定选择条件匹配的事件。”仅“StartTi
$yesterday = (get-date) - (new-timespan -day 1)
$a = get-winevent -FilterHashTable @{LogName='system'; StartTime=$yesterday}
有人知道问题出在哪里吗?对于这些类型的日志,您需要使用xpath查询,这很复杂
$query=@"
<QueryList>
<Query Id='0' Path='Microsoft-Windows-Dhcp-Client/Admin'>
<Select Path='Microsoft-Windows-Dhcp-Client/Admin'>*[System[TimeCreated[timediff(@SystemTime) <= 2592000000]]]</Select>
</Query>
</QueryList>
"@
get-winevent -LogName Microsoft-Windows-Dhcp-Client/Admin -FilterXPath $query
$query=@”
*[System[TimeCreated[timediff(@SystemTime)=2592000000]]
"@
获取winevent-LogName Microsoft Windows Dhcp客户端/Admin-FilterXPath$query
ForwardedEvents中没有任何内容,因此我使用了不同的日志。最好的做法是使用EventViewer构建查询,然后复制并粘贴XML。您很可能需要处理引号字符。对于这些类型的日志,您需要使用xpath查询,这很复杂
$query=@"
<QueryList>
<Query Id='0' Path='Microsoft-Windows-Dhcp-Client/Admin'>
<Select Path='Microsoft-Windows-Dhcp-Client/Admin'>*[System[TimeCreated[timediff(@SystemTime) <= 2592000000]]]</Select>
</Query>
</QueryList>
"@
get-winevent -LogName Microsoft-Windows-Dhcp-Client/Admin -FilterXPath $query
$query=@”
*[System[TimeCreated[timediff(@SystemTime)=2592000000]]
"@
获取winevent-LogName Microsoft Windows Dhcp客户端/Admin-FilterXPath$query