我正在使用Powershell命令读取事件日志,如下面的1所示:
get-winevent -Path "C:\Test.evtx" -oldest | convertto-xml -as Stream > "C:\Test.xml"
如您所见,我将结果存储在XML文件中供以后阅读。
对于事件日志中的少数事件,我需要一个特殊的查询,如下所示:
$evtWithoutMsg = get-winevent -Path "C:\Test.evtx" | Where-Object {($_.RecordId -eq 53593)}
$xmlThing = [xml]$evtWithoutMsg.toxml()
$msg = $xmlThing.Event.EventData.Data
$msg
我的问题是,我可以将'$ xmlThing.Event.EventData.Data'作为新节点或初始命令的xml文件输出(test.xml)中的某些内容吗?