|
|
|
|
| Компьютерный форум OSzone.net » Программирование, базы данных и автоматизация действий » Скриптовые языки администрирования Windows » PowerShell - [решено] Выборка данных из EventLog'a |
|
|
PowerShell - [решено] Выборка данных из EventLog'a
|
Ветеран Сообщения: 992 |
Захотелось мониторить кто-где заблокировал себе доменную учетку, посему начал раскапывать логи Security вот таким образом:
Код:
 Get-WinEvent -FilterHashtable @{LogName=”Security”;ID=4740} -MaxEvents 1 | select *
вот так
Message : A user account was locked out.
Subject: Security ID: S-1-5-18 Account Name: DC$ Account Domain: dom Logon ID: 0x3E7 Account That Was Locked Out: Security ID: S-1-5-21-1114597676-1119302421-1926942842-8253 Account Name: username Additional Information: Caller Computer Name: computername Id : 4740 Version : 0 Qualifiers : Level : 0 Task : 13824 Opcode : 0 Keywords : -9214364837600034816 RecordId : 88844217 ProviderName : Microsoft-Windows-Security-Auditing ProviderId : 54849625-5478-4994-a5ba-3e3b0328c30d LogName : Security ProcessId : 608 ThreadId : 5404 MachineName : DC.doma.in UserId : TimeCreated : 01.12.2016 13:30:28 ActivityId : RelatedActivityId : ContainerLog : security MatchedQueryIds : {} Bookmark : System.Diagnostics.Eventing.Reader.EventBookmark LevelDisplayName : Information OpcodeDisplayName : Info TaskDisplayName : User Account Management KeywordsDisplayNames : {Audit Success} Properties : {System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty, System.Diagnostics.Eventi ng.Reader.EventProperty, System.Diagnostics.Eventing.Reader.EventProperty...} Как можно получать строку с TimeCreated весьма даже понятно (если просто перечислить их в select), но вот как выдрать нижеприведенные - в упор не догоняю. из Account That Was Locked Out: Account Name: username из Additional Information: Caller Computer Name: computername ткните носом куда копать. |
|
|
Отправлено: 13:39, 01-12-2016 |
|
Ветеран Сообщения: 1259
|
Профиль | Отправить PM | Цитировать Свойство Properties или разбирать Message, но первый вариант легче.
|
|
Отправлено: 13:40, 01-12-2016 | #2 |
|
Ветеран Сообщения: 992
|
Профиль | Сайт | Отправить PM | Цитировать Kazun, а можно поподробней? Разбирать Message не особо прельщает, а вот про свойства Properties я что-то недопонял.
|
|
Отправлено: 14:26, 01-12-2016 | #3 |
|
Ветеран Сообщения: 1259
|
Профиль | Отправить PM | Цитировать (Get-WinEvent -FilterHashtable @{LogName=”Security”;ID=4740} -MaxEvents 1).Properties
|
|
Отправлено: 14:38, 01-12-2016 | #4 |
|
Ветеран Сообщения: 992
|
Профиль | Сайт | Отправить PM | Цитировать Понял, супер. Самое то что нужно.
|
|
|
Отправлено: 14:48, 01-12-2016 | #5 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Разное - Выборка данных из двух таблиц | vision-d | Программирование и базы данных | 2 | 21-05-2014 19:17 | |
| Любой язык - Выборка данных из txt | KarpovStas | Скриптовые языки администрирования Windows | 22 | 27-11-2013 17:16 | |
| Выборка данных из таблицы mysql | vinbongun | Вебмастеру | 7 | 14-08-2013 06:23 | |
| MySQL - Выборка данных из таблицы mysql | vinbongun | Программирование и базы данных | 0 | 11-08-2013 09:10 | |
| CMD/BAT - выборка данных из лога | MrVest | Скриптовые языки администрирования Windows | 0 | 20-11-2012 16:50 | |
|
|
Время: 18:07. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
