所以我在下面的代码中使用append收集指定的EventID。问题是它只保存到单个文件。我想要做的是将集合保存到每日文件,以便我可以做每日报告。请帮助一点?
$endtime = Get-Date
$starttime = (Get-Date).AddHours(-3)
$domain = "ComputerName"
$event = get-eventlog security -ComputerName $domain -after $starttime -before $endtime | where-object {($_.EventID -eq 4724) -or ($_.EventID -eq 4723) -or ($_.EventID -eq 4720)}
$event | select MachineName,EventID,TimeGenerated,Message | export-csv -path "E:\EventLogs\temp.csv"
get-content "E:\EventLogs\temp.csv" | out-File -filepath "E:\EventLogs\AccountAudit.csv" -append -enc ASCII -width 500
答案 0 :(得分:1)
-Append还有一个$event = get-eventlog security -ComputerName $domain -after $starttime -before $endtime |
Where-object {($_.EventID -eq 4724) -or ($_.EventID -eq 4723) -or ($_.EventID -eq 4720)}
$event | select MachineName,EventID,TimeGenerated,Message |
Export-Csv -path "E:\EventLogs\AccountAudit.csv" -Append -Encoding ASCII
参数,您可以将代码缩短为:
width答案 1 :(得分:0)
只需添加带有一些参数的get-start即可获得文件名友好的日期(例如,没有" /")并将其保存在变量中。然后将最后一行的AccountAudit替换为变量。