Message 的內容也不能在欄位上直接呈現(就算呈現也還有換行問題)
譬如說,想找找看今天有沒有特定使用者登入過這台電腦時
已知事件 ID 是 4624,範圍訂一天,但撈出來還是這麼一大包
(實際需要追查事件的情境下,可能範圍都不只一天)
接著還要一個一個點開看下面的一般訊息,確認一下是不是某個帳號的 Login 資訊
看完都下班了 (誤
改用 Powershell 的 Get-EventLog 查詢,可以快速濾出這些資料
Get-EventLog -LogName Security |
where {
$_.EventID -eq 4624
-and $_.TimeGenerated -gt [System.DateTime]::now.date
-and $_.Message.Contains("Administrator")
}
上述指令可以找出「今天使用 Administrator 帳號來登入的資訊」
查出的資料可以在後面繼續串 | Format-List 來將詳細資料列出,就可以看到 Message 內多的內容了,大概像下面這樣
沒有留言:
張貼留言