Windows-根据事件ID自动提取任务/子类别

Question

我需要为Windows-Microsoft-Security-Auditing提供程序提取所有事件ID及其任务（或子类别）。

通过Powershell可以使用以下命令提取所有任务：

PS C:\WINDOWS\system32> (Get-WinEvent -listprovider "microsoft-windows-security-auditing").Tasks

        Name                                         Value DisplayName                            EventGuid
        ----                                         ----- -----------                            ---------
        SE_ADT_SYSTEM_SECURITYSTATECHANGE            12288 Security State Change                  00000000-0000-0...
        SE_ADT_SYSTEM_SECURITYSUBSYSTEMEXTENSION     12289 Security System Extension              00000000-0000-0...
        SE_ADT_SYSTEM_INTEGRITY                      12290 System Integrity                       00000000-0000-0...
        SE_ADT_SYSTEM_IPSECDRIVEREVENTS              12291 IPsec Driver                           00000000-0000-0...
        SE_ADT_SYSTEM_OTHERS                         12292 Other System Events                    00000000-0000-0...
        SE_ADT_LOGON_LOGON                           12544 Logon                                  00000000-0000-0...
        SE_ADT_LOGON_LOGOFF                          12545 Logoff                                 00000000-0000-0...
        SE_ADT_LOGON_ACCOUNTLOCKOUT                  12546 Account Lockout                        00000000-0000-0...
        SE_ADT_LOGON_IPSECMAINMODE                   12547 IPsec Main Mode                        00000000-0000-0...

我还可以列出一个事件ID。

(Get-WinEvent -listprovider "microsoft-windows-security-auditing").events[100]


        Id          : 4734
        Version     : 0
        LogLink     : System.Diagnostics.Eventing.Reader.EventLogLink
        Level       : System.Diagnostics.Eventing.Reader.EventLevel
        Opcode      : System.Diagnostics.Eventing.Reader.EventOpcode
        Task        : System.Diagnostics.Eventing.Reader.EventTask
        Keywords    : {}
        Template    : <template xmlns="http://schemas.microsoft.com/win/2004/08/events">
                        <data name="TargetUserName" inType="win:UnicodeString" outType="xs:string"/>
                        <data name="TargetDomainName" inType="win:UnicodeString" outType="xs:string"/>
                        <data name="TargetSid" inType="win:SID" outType="xs:string"/>
                        <data name="SubjectUserSid" inType="win:SID" outType="xs:string"/>
                        <data name="SubjectUserName" inType="win:UnicodeString" outType="xs:string"/>
                        <data name="SubjectDomainName" inType="win:UnicodeString" outType="xs:string"/>
                        <data name="SubjectLogonId" inType="win:HexInt64" outType="win:HexInt64"/>
                        <data name="PrivilegeList" inType="win:UnicodeString" outType="xs:string"/>
                      </template>

        Description : Un groupe local dont la sécurité est activée a été supprimé.

                      Sujet :
                        ID de sécurité :                %4
                        Nom du compte :         %5
                        Domaine du compte :             %6
                        ID d’ouverture de session :             %7

                      Groupe :
                        ID de sécurité :                %3
                        Nom du groupe :         %1
                        Domaine du groupe :             %2

                      Informations supplémentaires :
                        Privilèges :            %8

但是当我请求EventID的Task时，它总是输出0

PS C:\WINDOWS\system32> (Get-WinEvent -listprovider "microsoft-windows-security-auditing").events[100].Task

        Name Value DisplayName EventGuid
        ---- ----- ----------- ---------
                 0             00000000-0000-0000-0000-000000000000

wevtutil MSDOS命令存在相同的问题：

wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true

        event:
            value: 4615
            version: 0
            opcode: 0
            channel: 10
            level: 4
            task: 0
            keywords: 0x8000000000000000
            message: Utilisation incorrecte du port LPC.

        Sujet :
                ID de sécurité :                %1
                Nom du compte :         %2
                Domaine du compte :             %3
                ID d’ouverture de session :             %4

        Informations sur le processus :
                PID :                   %7
                Nom :                   %8

有什么帮助吗？ = D