应急响应-Powershell日志操作

使用Get-WinEvent

Get-WinEvent @{logname='application','system'} -MaxEvents 1

一些常见日志操作

Get-WinEvent帮助命令

get-help Get-WinEvent

列出所有事件日志

Get-WinEvent -ListLog *

powershell管理员权限下获取安全事件日志

Get-WinEvent -FilterHashtable @{LogName='Security'}

过滤安全事件ID 4624

Get-WinEvent -FilterHashtable @{LogName='Security';ID='4624'}

查询今天的应用和系统日志，显示前2条

Get-WinEvent @{logname='application','system';starttime=[datetime]::today } -MaxEvents 2

根据ID查询事件

Get-WinEvent -LogName Microsoft-Windows-PowerShell/Operational | Where-Object {$_.ID -eq "4100" -or $_.ID -eq "4104"}

查询指定时间内的事件

$StartTime=Get-Date  -Year  2020  -Month  3  -Day  1  -Hour  15  -Minute  30

$EndTime=Get-Date  -Year  2020  -Month  3  -Day  15  -Hour  20  -Minute  00

Get-WinEvent -FilterHashtable @{LogName='System';StartTime=$StartTime;EndTime=$EndTime}

Get-EventLog 参考文档：https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.management/get-eventlog?view=powershell-5.1