JMe*_*erX 4 powershell powershell-2.0
account name我想从事件日志中的消息属性中提取。例如我正在运行以下命令:
get-eventlog -computername dc-01 -logname security | ?{$_.eventid -eq "4674"} | convertto-html -property machinename,eventid,entrytype,message | out-file c:\test.html
我希望能够提取account name消息,但对于特定用户来说没有必要。理想情况下,它会创建另一个名为Account Name我们可以排序的列
查看每个事件的 ReplacementStrings 属性的第二项。它包含消息中嵌入的值。
get-eventlog -computername dc-01 -logname security | ?{$_.eventid -eq "4674"} |
select machinename,eventid,@{n='AccountName';e={$_.ReplacementStrings[1]}},entrytype,message |
convertto-html | out-file c:\test.html
| 归档时间: |
|
| 查看次数: |
13246 次 |
| 最近记录: |