我需要从事件日志
过滤最后一次“启动事件”的ID我通过运行 psloglist -accepteula -n 1 -s -o“Microsoft-Windows-Kernel-General”-i 12 -t; 来获取它,我将其重定向到文件并需要过滤只有第一个数字后面跟着;在第二行,如下面的例子所示
请问,拜托,请帮我写一下powershell吗?系统登录\ FDU000084151005:
107604 ;系统;微软Windows的内核一般;信息; FDU000084151005
答案 0 :(得分:1)
如何使用Get-WinEvent:
get-winevent -FilterHashtable @{ProviderName = "Microsoft-Windows-Kernel-General" ; Id = 12} |
select -expand RecordId
答案 1 :(得分:0)
您可能可以使用Get-WinEvent cmdlet获取值,请查看帮助示例。我的系统上没有该日志文件,所以我不能给你一个有效的例子。
这是一种使用匹配运算符和$ matches集合从导出文件中提取值的方法:
Get-Content log.txt | Where-Object {$_ -match '^(\d+);'} | Foreach-Object { $matches[1] }