如何正确使用keywords属性来获取审核失败事件日志?我相信失败日志的关键字是-9218868437227405312并尝试做
$filter=@{
logname='security'
providername='Microsoft-Windows-Security-Auditing'
keywords=-9218868437227405312
}
get-winevent -filterhashtable $filter
但我得到的不是结果,包括成功事件。
还是有另一种使用get-winevent获取审核失败日志的方法吗?
答案 0 :(得分:1)
我使用Get-EventLog
代替Get-WinEvent
。当我比较两者时,它大约快了10倍。
Get-EventLog Security -EntryType FailureAudit