我正在尝试使用ConvertFrom-String PowerShell cmdlet对安全事件日志进行客观化,但我无法解决此问题。
首先我从DC获得了这个事件。
$events = Get-WinEvent -ComputerName $comp FilterHashtable @{logname='security';id=4727}
接下来我定义我的模板。
$tmpl = @'
{Event:A security-enabled global group was created.}
Subject:
Security ID: S-1-5*
{SubjectName:Account Name: andrew}
Account Domain: DOMAIN
Logon ID: 0x16D280EB
New Group:
Security ID: S-1-5*
{GroupName:Group Name: test1}
Group Domain: DOMAIN
Attributes:
SAM Account Name: test1
SID History: -
Additional Information:
Privileges: -
'@
最后我尝试把它变成对象。
($events).message | ConvertFrom-String -TemplateContent $tmpl
但我的输出只是
Event: A security-enabled global group was created.
相反,我希望得到类似的东西;
我希望这兼容循环通过许多类似的事件来拉出正确的位?
答案 0 :(得分:1)
我在微软论坛上发布了相同的问题并得到了即时答复,所以对于那些感兴趣的人来说,就是这样。