我正在尝试查看7045中能够提取路径名的所有事件。但是我也想选择事件的时间戳吗?
Get-WinEvent -Path ".\System.evtx" |
where {$_.id -eq "7045"} |
Foreach {([xml]$_.ToXml()).GetElementsByTagName("Data").itemOf(1)} |
Select -ExpandProperty "#text" -Unique
Get-WinEvent -Path ".\System.evtx" |
where {$_.id -eq "7045"} |
Foreach {([xml]$_.ToXml()).GetElementsByTagName("Data").itemOf(1)} |
Select -ExpandProperty "#text" -Unique
Get-WinEvent -Path ".\System.evtx" |
where {$_.id -eq "7045"} |
Foreach {([xml]$_.ToXml()).GetElementsByTagName("Data").itemOf(0)} |
Select -ExpandProperty "#text" -Unique
我想获取输出TimeCreated,服务名称,服务路径
现在有2个查询,我可以得到服务名称和服务路径吗?
答案 0 :(得分:2)
这可能会做到:
Get-WinEvent -FilterHashtable @{LogName='System'; ID=7045} |
Select-Object -Property TimeCreated,
@{Label='Service Name'; Expression={$_.properties[0].Value}},
@{Label='Service Path'; Expression={$_.properties[1].Value}}