powershell - 仅获取审核失败事件日志

时间:2013-07-19 06:50:11

标签: powershell hashtable event-log

如何正确使用keywords属性来获取审核失败事件日志?我相信失败日志的关键字是-9218868437227405312并尝试做

$filter=@{
    logname='security'
    providername='Microsoft-Windows-Security-Auditing'
    keywords=-9218868437227405312
}
get-winevent -filterhashtable $filter

但我得到的不是结果,包括成功事件。

还是有另一种使用get-winevent获取审核失败日志的方法吗?

1 个答案:

答案 0 :(得分:1)

我使用Get-EventLog代替Get-WinEvent。当我比较两者时,它大约快了10倍。

Get-EventLog Security -EntryType FailureAudit