Я хочу отфильтровать журнал событий для определенного пользователя, но я не думаю, что существует опция искать SAMID. Существует фильтр UserId
хотя, согласно здесь. Следующий правильный синтаксис корректен для поиска пользователя в снимке экрана ниже?
$events = get-winevent -filterhashtable
@{ logname='security'; path="Archive-Security-2015-04-14-02-13-02-299.evtx";
UserId='S-1-5-21-220523388-838170752-839522115-yyyy' }
Я не получаю "Событий, были найдены тем соответствием указанные критерии выбора". с вышеупомянутой командой. Но если я удаляю UserId
ключ, длинный список возвращается, таким образом, не должно быть ничего неправильно с logname
или path
.
Используйте вместо этого опцию -FilterXPath
!
В следующем примере я сохранил все события из журнала безопасности на моей машине в сек. журнал. evtx
на рабочем столе и искать события с помощью SubjectUserSid S-1-5-18
(LOCAL SYSTEM
):
$events = Get-WinEvent -Path "$HOME\Desktop\seclog.evtx" -FilterXPath '*[EventData[Data[@Name="SubjectUserSid"] = "S-1-5-18"]]'
В скрипте я, вероятно, выбрал бы таблицу splatting, чтобы сделать утверждение немного более читабельным (здесь ограничено последними 10 событиями):
$seclogSplat = @{
'Path' = "$HOME\Desktop\seclog.evtx"
'FilterXPath' = '*[EventData[Data[@Name="SubjectUserSid"] = "S-1-5-18"]]'
'MaxEvents' = 10
}
$events = Get-WinEvent @seclogSplat
Вы можете указать несколько неисключительных критериев с помощью или
:
*[EventData[Data[@Name="SubjectUserSid"] = "S-1-5-18" or Data[@Name="SubjectUserSid"] = "S-1-0-0"]]
Я не знаю ни одного встроенного способа узнать, существует ли конкретный UserID.
Однако вы можете просто сопоставить содержимое сообщения, чтобы найти свой SiD, поскольку он должен быть уникальным:
$ events = get-winevent -logname security -path «Архив-Безопасность-2015-04-14-02-13-02-299.evtx» | где {$ _. message -match 'S-1-5-21-220523388-838170752-839522115-yyyy'}
Есть также несколько более чистых способов с использованием фильтрации XML.
Но лично мне они пока не нужны, и пока достаточно содержания, соответствующего сообщению.