Powershell-从事件日志创建可读的安全消息数据
目标:通过PowerShell Get-EventLog在Active Directory中获取已删除和创建的组织单位。
问题:搜索事件ID 4662的任何结果都会导致以下结果:
An operation was performed on an object.
Subject :
Security ID: S-1-5-21-3179159395-111441685-1606651853-500
Account Name: Administrator
Account Domain: FRANKDC1
Logon ID: 0x53f92
Object:
Object Server: DS
Object Type: %{bf967aa5-0de6-11d0-a285-00aa003049e2}
Object Name: %{484859f8-78ce-446f-84fd-e98e060c3b2f}
Handle ID: 0x0
Operation:
Operation Type: Object Access
Accesses: %%1537
Access Mask: 0x10000
Properties: %%1537
{bf967aa5-0de6-11d0-a285-00aa003049e2}
d
Additional Information:
Parameter 1: -
Parameter 2:
与从EventLog窗口中提取条目时所看到的相反:
这就是我的目的:
Get-EventLog -LogName Security | Where {$_.EventID -eq 4662} | Select -ExpandProperty Message
我当然会过滤掉我发布的结果,但这是我到目前为止所提出的核心内容。
我最好为我的报告提取“Operation.Accesses”和“Object.ObjectName”。有关如何使这项工作的任何想法?
注意:Get-WinEvent为我提供了更多信息,但我仍然没有得到包含已删除的OU的DN的对象名称(在此特定示例中)
0 个答案:
没有答案
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?