PowerShell

Kazun · Отправлено: **10:28, 04-04-2014** | #2

Могут быть проблемы с полем message из-за региональных настроек (оно будет пустое).
Попробуйте на 2012 для начала(т.к. в Windows Server 2008 FilterXPath не работает):

Код:

Get-WinEvent Security -FilterXPath "*[System[EventID=4624] and EventData[Data[@Name='LogonType']=10]]"

smotritel89 · Отправлено: **10:38, 04-04-2014** | #3

да, выводиться,

но при добавлении -after (Get-date -hour 0 -minute 0 -second 0), т.е указать конкретную дату, ошибка.

то я так понял у Get-WinEvent нет параметра -after..

мне нужно будет оперировать еще с переменной, message, т.е отобразить
- Имя пользователя
- IP адрес.

как же быть?

Kazun · Отправлено: **11:00, 04-04-2014** | #4

Код:

$today = [int](new-timespan ([datetime]::Today)(get-date)).TotalMilliseconds
$filter = "*[System[EventID=4624 and TimeCreated[timediff(@SystemTime)<=$today]] and EventData[Data[@Name='LogonType']=10]]"
Get-WinEvent Security -FilterXPath $filter | Select TimeCreated,@{n="UserName";e={$_.properties[5].value}},@{n="IP";e={$_.properties[18].value}}

smotritel89 · Отправлено: **11:22, 04-04-2014** | #5

Спасибо, то что надо!

smotritel89 · Отправлено: **15:42, 04-04-2014** | #6

Осталось к Win 2003.
нашел вроде скрипт.
но столкнулся с непоняткой

вот строчки:

Код:

$event.message -match "Source Network Address:\s+(\d+)" | Out Null
$ipaddr = matches[1]

на выходе $ipaddr, только первые 2 цифры IP адреса.

как написать чтобы всю строчку вывел?

Kazun · Отправлено: **15:49, 04-04-2014** | #7

Самое простое:

Код:

-match "Source Network Address:\s+(\d{0,3}\.\d{0,3}\.\d{0,3}\.\d{0,3})"

или

Код:

$ipaddr = $event.ReplacementStrings[18]

Dobrezov · Отправлено: **02:49, 06-02-2016** | #8

Поделиться готовыми скриптами можно попросить? "От жадности" на все версии хотелось-бы. Ну, а по насущной потребности - на 2008R2 нужно.
Спасибо!
P.S. Или подскажите тут:
http://forum.oszone.net/showthread.p...68#post2602968