我在Powershell中使用Fragment来获取时间间隔内的事件日志。为避免数据丢失或重复,我需要知道Get-WinEvent和StartTime的间隔类型。
在MSDN中的以下示例中:
EndTime似乎PS C:\> # Use the Where-Object cmdlet
PS C:\>$yesterday = (Get-Date) - (New-TimeSpan -Day 1)
PS C:\>Get-WinEvent -LogName "Windows PowerShell" | Where-Object {$_.TimeCreated -ge $yesterday}
# Uses FilterHashTable
PS C:\>$yesterday = (Get-Date) - (New-TimeSpan -Day 1)
PS C:\>Get-WinEvent -FilterHashTable @{LogName='Windows PowerShell'; Level=3; StartTime=$yesterday}
表示“> =”。
但我没有找到关于StartTime的任何信息。它代表什么? “<”或“< =”?
答案 0 :(得分:1)
EndTime表示<=。刚刚在我的电脑上进行了测试。当我设置EndTime=(get-date -Date "03.08.2015 14:07:27")时,我会在那个精确的时间内获得事件。事件日志中的时间戳也不包含毫秒,因此过滤精度为1秒。