运行脚本
这是我获取特定时间事件日志的脚本。
$time = Get-WinEvent microsoft-windows-dns-client/operational -MaxEvents 1 |
Select-Object @{name="time"; expression={$_.timecreated.tostring("yyyy-MM-dd hh:mm:ss")}} |
Select-Object -ExpandProperty time
Get-WinEvent microsoft-windows-dns-client/operational |
Where-Object {$_.timecreated.tostring("yyyy-MM-dd hh:mm:ss") -eq "$time"}
如果我运行脚本,则显示结果。
脚本会在60秒或更长时间后退出。
我的错误是什么?
[第二个问题]
这是powershell的错误吗?
这种情况是在显示结果后脚本不会退出。
以下图片的结果需要3秒钟。
为什么这么慢?
powershell有关于时间条件的错误吗?
我认为解决了这个问题。谢谢gms0ulman。
while($true) {
$QUERY = @"
<QueryList><Query><Select Path='Microsoft-Windows-DNS-Client/Operational'>
*[System/EventID = 3006] and
*[System/TimeCreated[timediff(@SystemTime) <= 60000]] and
*[EventData/Data[@Name='QueryType'] != 28]
</Select></Query></QueryList>
"@
$CMD = (Get-WinEvent -FilterXml $QUERY).count 2>$null
if($CMD -ne 0) {
$LOG_LIST = Get-WinEvent -FilterXml $QUERY | Select-Object timecreated, processid, message | Sort-Object timecreated
foreach($LOG in $LOG_LIST) {
$TIMESTAMP = $LOG | Select-Object -ExpandProperty timecreated
$TIMESTAMP_SPLIT = $TIMESTAMP -split " "
$LOG_DATE = $TIMESTAMP_SPLIT[0]
$LOG_TIME = $TIMESTAMP_SPLIT[1]
$PROC_ID = $LOG | Select-Object -ExpandProperty processid
$PROC_NAME = Get-Process -id $PROC_ID | Select-Object -ExpandProperty processname
$MSG = $LOG | Select-Object -ExpandProperty message
$URL_1 = $MSG -replace '^\S{2}\s([^,]+).+','$1'
$URL_2 = $URL_1 -replace '^.*?([^.]+\.[^.]+\.?|[^.]+\.(ac|co|go|ne|nm|or|pe|re)\.[^.]+\.?)$','$1'
$LOG_SET = "$LOG_DATE`t$LOG_TIME`t$PROC_ID`t$PROC_NAME`t$URL_1`t$URL_2"
$LOG_SET >> C:\dns.csv
}
}
Start-Sleep 60
}
1 个答案:
答案 0 :(得分:1)
我不认为$time变量包含您期望的内容。在我的机器上,选择标准microsoft-windows-dns-client/operational无效。
我相信这就是你所追求的:
# Get event based on your criteria. Implicitly converted to datetime data type
# You can check by running $time.GetType() or $time | gm
[datetime]$time = (Get-WinEvent microsoft-windows-dns-client/operational -MaxEvents 1).TimeCreated
# Get events where the TimeCreated field matches the previous time.
Get-WinEvent microsoft-windows-dns-client/operational | Where-Object {$_.TimeCreated -eq "$time"}
编辑 - 我错了,这不是你想要的
最初,我试图将EventLog限制在最后一天。然后是最后一分钟。但我仍然有你提到的滞后。
对我来说,解决方案是使用this article中所述的-FilterXML参数。当然,需要自定义以指向PowerShell事件以满足您的需求
# xml source: https://blogs.msdn.microsoft.com/powershell/2011/04/14/using-get-winevent-filterxml-to-process-windows-events/
[xml]$filterXml = @"
<QueryList>
<Query Id="0" Path="Windows PowerShell">
<Select Path="Windows PowerShell">*[System[(Level=4 or Level=0)]]</Select>
</Query>
</QueryList>
"@
[datetime]$time = (Get-WinEvent -FilterXml $filterXml -MaxEvents 1).TimeCreated
Get-WinEvent -FilterXml $filterXml | Where-Object {$_.TimeCreated -eq $time}
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?