get-winevent：将部分扩展数据添加到 scv 列

2024-01-04

我想找出哪个用户、IP、工作站名称远程连接到工作站。这可以在事件日志 eventid 4624 logontype 10（远程交互，例如 rdp）中看到。当这种情况发生时，我需要消息字段中的一些数据，但只是一些而不是全部。

Get-WinEvent -FilterHashtable @{Path="c:\temp\raw_data\SavedSecurity.evtx";} |Where {($_.id -eq "4624" -and $_.properties[8].value -in 10)} |Select-Object -Property TimeCreated, Message |pause

我知道我可以使用提供的代码获取大量数据，还有消息字段中的远程 IP、远程工作站名称、远程用户 ID。

挑战来了：我只想some来自消息字段的数据：

TargetUserName testuser
TargetDomainName testlab.internal 
TargetLogonId 0xb6f45e 
LogonType 7 
WorkstationName testclientwin7 
IpAddress 127.0.0.1 
IpPort 64372

Message: Successful Login

有什么想法如何将它们（仅此字段，而不是其他字段）写入标题名称与所选数据项相同的 csv 文件吗？

thanks

peter

有什么想法如何将它们（仅此字段，而不是其他字段）写入标题名称与所选数据项相同的 csv 文件吗？

Plenty!

这是最安全的（尽管可能最不明显） - 使用EventPropertySelector https://msdn.microsoft.com/en-us/library/system.diagnostics.eventing.reader.eventlogpropertyselector.eventlogpropertyselector(v=vs.110).aspx!

Get-WinEvent -FilterHashtable @{Path="c:\temp\raw_data\SavedSecurity.evtx";} |Where {($_.id -eq "4624" -and $_.properties[8].value -in 10)} |%{
    $SelectorStrings = [string[]]@(
        'Event/EventData/Data[@Name="TargetUserName"]',
        'Event/EventData/Data[@Name="TargetDomainName"]',
        'Event/EventData/Data[@Name="TargetLogonId"]',
        'Event/EventData/Data[@Name="LogonType"]',
        'Event/EventData/Data[@Name="WorkstationName"]',
        'Event/EventData/Data[@Name="IpAddress"]',
        'Event/EventData/Data[@Name="IpPort"]'
    )
    $PropertySelector = [System.Diagnostics.Eventing.Reader.EventLogPropertySelector]::new($SelectorStrings)

    $UserName,$Domain,$LogonId,$LogonType,$ComputerName,$IPAddres,$Port = $_.GetPropertyValues($PropertySelector)

    New-Object psobject -Property @{
        Message      = $_.Message
        UserName     = $UserName
        Domain       = $Domain
        LogonId      = $LogonId
        LogonType    = $LogonType
        ComputerName = $ComputerName
        IPAddres     = $IPAddres
        Port         = $Port
        TimeCreated  = $_.TimeCreated
    }
}

在上面的代码片段中，我们使用 XPath 位置选择器来获取相关的Data事件的 XML 结构中的节点。如果其中任何一个不存在，则相应的变量将只是一个空字符串

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

PowerShell

get-winevent：将部分扩展数据添加到 scv 列的相关文章

我应该安装哪个驱动程序才能使用 powershell 运行 mysqlcommand？

我安装了 mysql 连接器 ODBC 5 1 8 来运行 sqlcommand 但出现此错误 Cannot find type MySql Data MySqlClient MySqlConnection make sure the as
如何在 Windows Docker 容器中启动 PowerShell (x86)？

我正在尝试从 PowerShell 启动 Windows Docker 容器中的 PowerShell x86 但它不会启动新的 shell 我正在从 AWS Windows EC2 运行 DockerWindows Server 2019
如何并行执行PowerShell函数多次？

我不确定是否需要将其称为多线程基于作业或异步的需求但基本上我有一个 Powershell 脚本函数它需要多个参数并且我需要使用不同的参数多次调用它并让它们运行在平行下目前我这样调用该函数 Execute param1 param
Powershell，如何添加共享文件夹的权限

我有以下创建共享文件夹的代码 if Test Path c myFolder New Item Path c myFolder ItemType Directory If GET WMIOBJECT Win32 Share Filter N
powershell函数开关参数与字符串数组

我正在努力理解以下函数的输出 function testApp param string appName switch sw false string test string test2 Write Host appName sw test
在 PowerShell 中提取 EXIF 数据的简单方法？

我一直在研究使用 PowerShell 提取 EXIF 数据的各种方法但到目前为止我发现它相当复杂一些here http blog cincura net 233463 renaming files based on exif data
$ 之间的区别？和 PowerShell 中的 $LastExitCode

在 PowerShell 中有什么区别 and LastExitCode I read 关于自动变量 http technet microsoft com en us library dd347675 aspx 它说 Contains t
Powershell - 函数中的匹配 - 返回时获得额外的 true/false

为什么我在这个函数的结果上得到提取 True 或 False 当我想要返回的只是邮政编码时 Function GetZipCodeFromKeyword String keyword pattern d 5 keyword match pa
如何在 Windows 7 上安装 ScheduledTasks 模块

是否可以安装该模块 http technet microsoft com en us library jj649816 aspx与 Windows 8 和 Windows Server 2012 不同的操作系统上的 PS v3 0 附带吗
与 PowerShell CmdLets 互操作

我一直在编写一些利用 App V 的 PowerShell Cmdlet 的实用程序有趣的是微软似乎只记录了 cmdlet 而不记录 Powershell 模块背后使用的 net 程序集现在我熟悉了 P Invoke 和 COM I
get-childItem 的新 -file 参数是像 -filter 一样快还是像 -include 一样慢？

EDIT希望在这里澄清我的复杂和误导性问题基于我错误的假设 file 接受输入感谢您纠正我并指出这只是一个开关参数我的示例中的输入实际上传递给 path 听起来这可能是搜索多种文件类型最快的纯 powershell 方式因为 fil
在 DownloadProgressChanged 事件期间从 DownloadFileAsync 对事件处理程序的更新缓慢

我的问题我正在编写一个 PowerShell 脚本在继续执行其他任务之前该脚本需要从远程 Web 服务器下载几个大文件我的项目要求之一是显示每次下载的进度以便最终用户知道发生了什么对另一个 SO 问题的回复包含一个使用注册事件和
如何使用 PowerShell 将多个文本文件的列合并到一个 csv 文件中？

我有多个测量文件每个文件包含一列数字数据 Update 该脚本应该适用于可变数量的测量文件数据1 dat 1 0 2 0 3 0 数据2 dat 10 0 20 0 30 0 数据N dat 1 1 1 如何使用以下命令将这些数据文件合
命令提示符 con 的 Powershell 通讯员？

例如我想在屏幕上显示输出并将其复制到剪贴板 dir tee con clip 上面的方法不起作用因为con在 PowerShell 的文件系统中不被识别为控制台还可能存在以下场景 Get LongLongOutput tee con
使用 Powershell 远程安装 .msi

我已经让他使用这个论坛上存在的代码来跟踪代码 cls computername Get Content C Users C201578 db Documents server txt sourcefile iceopsnas LNT Sof
Django 管理员 - 登录

我正在建造一个Django Web App 与 Django Suit 用于管理界面已经让 Python 2 7 Django 1 10 和 MySQL 和谐通信并启动了一个项目 python m django admin startpr
“Connect-MsolService”未被识别为 cmdlet 的名称

PSCommand commandToRun new PSCommand commandToRun AddCommand Connect MsolService commandToRun AddParameter Credential ne
用于验证 IIS 设置的 Powershell 脚本

是否可以使用 Power Shell 脚本获取 IIS 设置我希望使用脚本获取检查以下信息检查 Windows 身份验证提供程序是否正确列出协商 NTLM 检查是否启用了 Windows 身份验证 Windows 身份验证高级设置
Powershell 脚本无法从 SCCM 正常运行 [已关闭]

这个问题不太可能对任何未来的访客有帮助它只与一个较小的地理区域一个特定的时间点或一个非常狭窄的情况相关通常不适用于全世界的互联网受众为了帮助使这个问题更广泛地适用访问帮助中心 help reopen questions 我正在尝试
如何更改 Visual Studio Code“Powershell 集成控制台”？

有谁知道如何安装更新 PS 7 以供 VS Code Powershell 集成控制台使用我可以在常规 powershell 终端上获取 PS 7 但 Powershell 集成控制台仍然是 PSVersion 5 1 我似乎不知道如何

随机推荐

使用重复参数而不是链接过滤器时，如何对 Q 对象进行 AND 查找？

我意识到我的问题更简单我将保留上一个问题的正文作为进一步的解释我在使用 Q 对象执行 AND 查询时遇到问题它是如何工作的我提供了 4 个示例唯一可以让它工作的时间是链接过滤器时但是我想避免这种情况也可以使用 OR 构建更复杂
正则表达式仅允许数字、连字符、空格、括号，并且应以数字结尾（javascript）[重复]

这个问题在这里已经有答案了可能的重复美国电话号码验证 https stackoverflow com questions 175488 us phone number verification 我需要验证美国电话号码它可以采用以下格式
如何清除 Apache 以强制浏览器清除缓存并加载文件？

我编辑了一些 css 文件需要 Apache 进行清除以清除所有浏览器上的缓存强制重新加载整个站点我过去使用过 cloudflare 他们有一个按钮可以执行此操作称为清除所有文件当我更改 css 文件时我依赖于此我的 hta
Pydicom.read_file 仅适用于某些 Dicom 图像

我正在制作一个 python 应用程序可以使用 pydicom 库将 dcm 图像转换为 jpg 这是我的代码 import pydicom import cv2 import numpy as np filename testDicom
是否有（R.either）的可变版本？

我需要一个可变版本R either 在网上搜索一番后我还没有找到解决方案 R anyPass可以工作但它返回一个布尔值而不是原始值是否已经有我忽略的解决方案如果不是那么编写可变参数实用函数的最佳方法是什么一个例子 const t
twitter bootstrap 3 input-group-addon 大小不一样

基本上我有几个输入字段其中的跨度前面带有一些文本当我尝试在 input group addon 和输入字段本身上设置 col lg 4 和 col lg 8 时它没有执行我期望的操作并调整它们的大小 div class input g
最新的 Amazon AWS Mobile 示例代码出现奇怪的 Swift 3 问题

按照 aws amazon com mobile 的当前示例代码有许多代码项尚未很好地更新到 Swift 3 考虑到他们的资源这相当奇怪当您访问 AWSMobileClient swift 时有一行如下代码 if isInitial
如何防止cordova在输入失去焦点时隐藏键盘

我正在使用phonegap 为android 制作一个聊天应用程序但我遇到了一个问题我有一个文本区域字段用户可以在其中编写消息和一个发送消息的按钮当用户单击文本区域时键盘就会出现但是当用户单击按钮发送消息时文本区域字段将失
跟踪变量实例

下面我创建了一个名为promiseRipple接受一个对象字面量其值为函数每个函数可以包含同步代码或异步代码promise var require lodash var Promise require bluebird function
如何翻译鼠标 X,Y 坐标以在容器内移动 HTML 元素，其中容器旋转到某个角度

我正在开发一款 HTML 纸牌游戏可以向所有玩家显示实时视角和纸牌移动所有玩家都通过 socket io 连接背景如果有 4 名玩家桌子是方形的并且桌子 HTML 主体根据玩家在屏幕上的位置旋转结构是这样的
如何克隆 TextView？

假设我有一个从 xml 获得的文本视图 final View popupView getLayoutInflater inflate R layout popup null final TextView tvPop TextView pop
创建发票并获取发货信息

我们有一些 API 集成可以定期为订单创建发货我想做的是创建一个观察者以便在创建此货件时创建适当的发票并捕获付款我有这个绑定sales order shipment save after public function autoIn
以指定的时间间隔定期运行异步方法

我需要从 C Web 应用程序将一些数据发布到服务数据本身是在用户使用应用程序时收集的一种使用情况统计我不想在每个用户的请求期间向服务发送数据我宁愿收集应用程序中的数据然后在单独的线程中发送单个请求中的所有数据这不会满足用户的请
Python 中的猴子修补 __eq__

无法理解为什么我能够重新定义猴子补丁 eq 在类之外但不通过更改其定义 init 或在方法中 class SpecialInteger def init self x self x x self eq self equals norma
如何在Kodingen上安装和使用python包？

I use Kodingen com http kodingen com测试 python 脚本我想在 Kodingen 上安装新的 python 软件包我知道我可以使用 App Store 的一键安装来安装新软件包喔喔网 http o
无法在Python中反转列表，将“Nonetype”作为列表[重复]

这个问题在这里已经有答案了我有一个 py文件接受一个列表找到最小的数字将其放入一个新数组中从第一个数组中删除最小的数字然后重复直到原始数组返回不再包含任何项目 def qSort lsort listlength len lso
Jquery 检查表单以查看任何输入是否有价值

if requestForm val alert Please select at least one filter return false else Run my code 我有一个表格不需要输入但如果没有选择任何输入我想要一个警
使用 Spring Integration 的 Java 邮件侦听器：多个应用程序实例未收到邮件

我在 Springboot 应用程序中使用以下代码 Bean public IntegrationFlow mailListener return IntegrationFlows from Mail imapInboundAdapter
如何在 Xcode 4 中“显示当前行”？

我知道您可以转到首选项并启用编辑器左侧显示的列显示行号但我想问是否有一种方法可以在某种状态栏或 Xcode UI 的任何其他部分显示行号而不启用此选项类似于 Xcode 3 所做的它没有被删除转到 XCode gt 首选项 gt
get-winevent：将部分扩展数据添加到 scv 列

我想找出哪个用户 IP 工作站名称远程连接到工作站这可以在事件日志 eventid 4624 logontype 10 远程交互例如 rdp 中看到当这种情况发生时我需要消息字段中的一些数据但只是一些而不是全部 Get WinEv

get-winevent：将部分扩展数据添加到 scv 列

get-winevent：将部分扩展数据添加到 scv 列 的相关文章

随机推荐

热门标签

get-winevent：将部分扩展数据添加到 scv 列的相关文章