在Powershell中计算日志结果_Powershell

在Powershell中计算日志结果

powershell

在Powershell中计算日志结果,powershell,Powershell,我有一个任务，我必须从我的Windows安全日志文件中提取诸如审核失败和审核成功之类的信息，并计算每次尝试的结果，例如总尝试次数、成功次数、失败次数和最常见的事件ID。我将.csv保存到我的桌面以从中获取信息，但我不确定如何获取每个事件的运行总数。到目前为止，我只导入了csv文件到目前为止，我的代码是： $FileName=import-csv -Path "C:\Users\Robert\Desktop\Audit Count.csv" $FileName | Select-Object |

我有一个任务，我必须从我的Windows安全日志文件中提取诸如审核失败和审核成功之类的信息，并计算每次尝试的结果，例如总尝试次数、成功次数、失败次数和最常见的事件ID。我将.csv保存到我的桌面以从中获取信息，但我不确定如何获取每个事件的运行总数。到目前为止，我只导入了csv文件

到目前为止，我的代码是：

$FileName=import-csv -Path "C:\Users\Robert\Desktop\Audit Count.csv"
$FileName | Select-Object | Format-List -Property "Keywords", "Event ID"

$AuditSuccess = "Audit Success"
$AuditSuccess.Count

尝试组对象。下面是一个按属性EntryType分组以获取成功和失败计数的示例：

Get-EventLog -LogName Security | Group-Object -Property EntryType

Count Name                      Group                                          
----- ----                      -----                                          
21911 FailureAudit              {System.Diagnostics.EventLogEntry, System.Di...
14132 SuccessAudit              {System.Diagnostics.EventLogEntry, System.Di...

我试过这个，它确实给了我一些有用的信息。我将尝试根据我需要的信息来定制它，例如成功、失败等。我假设我需要为我正在寻找的数据设置一些变量。这是一个开始，谢谢本杰明$FileName | Select Object | Group Object-Property Event id由于某种原因，我无法指定搜索以提供特定项目的计数，与审核失败类似，请使用-EntryType参数获取事件日志。我尝试复制您上面所做的操作，以查看在获取\u EventLog-LogName Security |组对象-Property EntryType和获取事件日志后是否得到相同的结果：不允许请求的注册表访问。您知道这意味着什么吗？这可能意味着您需要以管理员身份运行PowerShell，因为标准用户无权访问安全日志。