我想从事件日志中的message属性中提取account name。例如,我正在运行以下命令:
get-eventlog -computername dc-01 -logname security | ?{$_.eventid -eq "4674"} | convertto-html -property machinename,eventid,entrytype,message | out-file c:\test.html
我希望能够将account name提取出来,但不是特定用户所必需的。理想情况下,它会创建另一个名为Account Name的列,我们可以对其进行排序
答案 0 :(得分:4)
查看每个事件的ReplacementStrings属性的第二项。它包含消息中嵌入的值。
get-eventlog -computername dc-01 -logname security | ?{$_.eventid -eq "4674"} |
select machinename,eventid,@{n='AccountName';e={$_.ReplacementStrings[1]}},entrytype,message |
convertto-html | out-file c:\test.html