查询指定时间内审核失败的事件日志

查询指定时间内审核失败的事件日志,必须要加namespace,否则无返回

$s = get-date "3/30/2016 13:54:03"
$e = get-date "3/30/2016 13:55:03"
$stime = [System.Management.ManagementDateTimeConverter]::ToDmtfDateTime($s)
$etime = [System.Management.ManagementDateTimeConverter]::ToDmtfDateTime($e)
Get-CimInstance Win32_NTLogEvent -namespace "root\cimv2" -filter "logfile=‘security‘ and type=‘审核失败‘ and TimeGenerated>=‘$stime‘ and TimeGenerated<=‘$etime‘"

如果使用gwmi,时间格式还需要再次转换,无法直接使用。

Get-CimInstance需要PS3.0的支持。

时间: 2024-11-08 01:05:16

查询指定时间内审核失败的事件日志的相关文章

Windows事件日志查询案例

1.查询本机事件日志名称 Get-EventLog -List 2.查询2018年1月4日后系统日志中的错误日志 Get-EventLog -LogName System -EntryType Error -After 2018-1-4 3.查看单个事件日志详细信息(index的值为事件日志的序号) Get-EventLog -LogName System | Where-Object {$_.index -eq 2677} | Select-Object -Property * 4.查询指定日

C#操作windows事件日志项

1 /// <summary> 2 /// 指定事件日志项的事件类型 3 /// </summary> 4 public enum EventLogLevel 5 { 6 /// <summary> 7 /// 错误事件.它指示用户应该知道的严重问题(通常是功能或数据的丢失). 8 /// </summary> 9 Error = 1, 10 /// <summary> 11 /// 警告事件.它指示并不立即具有重要性的问题,但此问题可能表示将来

【转】 windows进程创建 事件日志

审核进程创建 打开"本地组策略(gpedit.msc)",左侧列表打开"计算机配置--Windows 设置--安全设置--高级审核策略配置--系统审核策略--详细跟踪",右侧双击"审核进程创建",把配置"成功"和"失败"勾上.至此,审核进程创建已经配置完毕. 查看日志 打开"计算机管理("计算机"右键"管理",或compmgmt.msc)",左侧&

Windows事件日志写入SQL Server并PowerBI统计分析

在这里我准备了2台系统,一个Windows Server 2012 R2的域控服务器DC01,一台SQL on CentOS7的SQL数据库服务器 首先我使用SQL Manager Studio连接到SQL数据库服务器创建需要存放Windows转发事件日志的数据库"EventCollections" CREATE DATABASE EventCollections GO USE EventCollections GO -- the table name loosely relates

使用EventLog类写Windows事件日志

在程序中经常需要将指定的信息(包括异常信息和正常处理信息)写到日志中.在C#3.0中可以使用EventLog类将各种信息直接写入Windows日志.EventLog类在System.Diagnostics命名空间中.我们可以在“管理工具” > "事件查看器“中可以查看我们写入的Windows日志,如下图所示: 下面是一个使用EventLog类向应用程序(Application)写入日志的例子,日志类型使用EventLogEntryType枚举类型指定. Code highlighting

查看系统事件日志

Win8查看系统事件日志的方法如下: 1.按快捷键win+Q打开应用界面,选择控制面板,进入控制面板,点击“系统和安全”. 2.点击“查看事件日志”. 3.进入事件查看器的第二种方法:在桌面“计算机”图标上面点击右键,选择“管理”. 4.在计算机管理界面选择“事件查看器”. 5.进入事件查看器界面,在此可查看系统事件日志. 6.点击windows日志. 7.将windows日志展开后可以查询到详细信息.

使用rsync备份Windows事件日志

使用rsync备份Windows事件日志 Windows版软件:cwRsyncServer 安装比较简单一直下一步即可,输入到创建账号页面的时候可以自己设置一个密码. 服务器端:cwRsyncServer_4.0.5_Installe.zip 客户端:cwRsync_4.0.5_Installer.zip 由于特殊原因需要收集Windows的Application.Security.Setup.System事件日志,而事件日志的位置是在C:\Windows\System32\winevt\Log

python之查询指定目录下的最新文件

使用os模块查询指定目录下的最新文件 1 import os 2 3 # 输入目录路径,输出最新文件完整路径 4 def find_new_file(dir): 5 '''查找目录下最新的文件''' 6 file_lists = os.listdir(dir) 7 file_lists.sort(key=lambda fn: os.path.getmtime(dir + "\\" + fn) 8 if not os.path.isdir(dir + "\\" + f

在Windows Server 2008 R2上启用Kerberos事件日志

在Windows Server 2008 R2上启用Kerberos事件日志 一.点击"开始"."运行",输入"REGEDIT"开始注册表编辑器. 二.展开到以下目录 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters 添加注册表值LogLevel,类型为REG_DWORD,值为0x1 如果Parameters下没有该子键,创建它. 注意:当定位完