Windows事件查看器:导出安全审计失败为CSV
问题描述:
作为我的安全管理职责的一部分,我需要查看域控制器上的Windows事件日志以查看失败的登录尝试。Windows事件查看器:导出安全审计失败为CSV
我目前所做的是转到Windows事件查看器中的安全日志,并通过审核失败进行筛选。我必须每天都这样做。对于简单的任务而言,这是一个繁琐而繁琐的过程。
我希望能够使用Powershell来提取我需要的信息并将其导出到CSV,以便我可以轻松浏览信息并根据需要进行排序。
正如我试图的例子,我追平了以下内容:
Get-WinEvent -FilterHashtable @{ logname = 'Security'; id = 4771 } |
Export-Csv -NoType "c:\Output.csv"
的问题是,这个输出就现在显示的用户名,目标IP或端口。当我查看其中一个事件时,我发现可以在原始XML视图(TargetUserName,IpAddress,IpPort)中找到这些值,但我无法弄清楚如何查询这些值以显示在输出中。有谁知道这可以实现吗?
答
您正在查找的值位于Properties属性中。 试试这个:
Get-WinEvent -FilterHashtable @{ logname = 'Security'; id = 4771 } | Select-Object TimeCreated,
@{ Name='TargetUserName'; Expression={$_.Properties[0].value}},
@{ Name='IpPort'; Expression={$_.Properties[7].value}},
@{ Name='IpAddress'; Expression={$_.Properties[6].value -replace "::ffff:"}}
+0
亚当,这是真棒!谢谢!它确实是我想要的。非常感激! –
出口为XML,而不是,也许'|%{$ _ toxml用于()}'或'出口,Clixml' –