ConvertFrom-StringData到hashtable以解析事件日志

时间:2015-09-23 02:37:09

标签: powershell powershell-v5.0

我正在蚕食可用的脚本here,尝试解析某些文件审核事件的安全事件日志。我想要做的是将输出限制为与特定文件名和访问掩码匹配的事件。

事件解析器使用System.Text.StringBuilder来构造结果对象($evt),我想过滤它以获取我真正想要的事件。

这里有一些原始输出:

23/09/2015 10:50:23 AM userid F:\dir1 0x1
23/09/2015 10:50:23 AM userid F:\dir1\dir2 0x1
23/09/2015 10:50:23 AM userid F:\dir1\dir2\doc.docx 0x20000

样本中的最后一行是我试图捕获的那种。

我按照以下

创建每一行作为键/数据对 
$out.AppendLine("TimeCreated = $($evt.TimeCreated),Username = $SubjectUserName,File = $ObjectName,AccessMask = $AccessMask")

然后我发现ConvertFrom-StringData对文件路径中的反斜杠不满意,所以修复了它以创建哈希表:

$output = $out.ToString() -replace '\\', '\\'
$hash = convertfrom-stringdata -stringdata $output

但现在我收到以下错误:

convertfrom-stringdata : Data item 'TimeCreated' in line 'TimeCreated =
09/23/2015 10:50:23,Username = userid,File = F:\\dir1,AccessMask = 0x1'
is already defined.

我怀疑我需要回到第一原则来过滤具有已知eventID和特定内容的事件数据,而不是使用字符串和哈希表(可能是自定义PSObject?),但任何人都可以阐明这个错误是什么?还是更好的方式?

1 个答案:

答案 0 :(得分:0)

在创建输出字符串之前过滤结果

$filename = 'F:\dir1\dir2\doc.docx'
$mask     = '0x20000'

...

if ($ObjectName -eq $filename -and $AccessMask -eq $mask) {
  $out.AppendLine("$($svr),$($evt.id),$($evt.TimeCreated),$SubjectUserName,$ObjectName,$AccessMask")
}

更一般地说,我要说更多的PoSh方法是将数据创建为自定义对象,并将CSV创建保留为Export-Csv

foreach ($svr in $server) {
  Get-WinEvent -Computer $svr -FilterHashtable @{logname="security";id="4663"} -Oldest | ForEach-Object {
    $xml = [xml]$_.ToXml()

    $props = [ordered]@{
      'ServerName'     = $svr
      'EventID'        = $_.Id
      'TimeCreated'    = $_.TimeCreated
      'UserName'       = Select-Xml -Xml $xml -Namespace $ns -XPath "//e:Data[@Name='SubjectUserName']/text()" | Select-Object -ExpandProperty Node | Select-Object -ExpandProperty Value
      'File_or_Folder' = Select-Xml -Xml $xml -Namespace $ns -XPath "//e:Data[@Name='ObjectName']/text()" | Select-Object -ExpandProperty Node | Select-Object -ExpandProperty Value
      'AccessMask'     = Select-Xml -Xml $xml -Namespace $ns -XPath "//e:Data[@Name='AccessMask']/text()" | Select-Object -ExpandProperty Node | Select-Object -ExpandProperty Value
    }

    New-Object -Type PSCustomObject -Property $props
  } | Where-Object {
    $_.'File_or_Folder' -eq $filename -and
    $_.AccessMask -eq $mask
  } | Export-Csv 'C:\Temp\4663Events.csv' -NoType -Append
}

尽管如此,我还没有比较这两种方法的表现。

相关问题
最新问题