Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум
Имя пользователя:
Пароль:
 

Название темы: отобрать пользователей по событию 4625 RemoteInteractive за определенную дату
Показать сообщение отдельно

Аватара для Tosha_l

Старожил


Сообщения: 277
Благодарности: 2

Профиль | Отправить PM | Цитировать

Код: Выделить весь код
$Dateinception = get-date -year 2017 -month 3 -day 1
$Dateend = get-date -year 2017 -month 3 -day 18
$Events = get-eventLog -LogName Security -Newest 10000 -after $Dateinception -before $Dateend | Where-Object { $_.EventID -eq 4625 } 
$Data = New-Object System.Management.Automation.PSObject
$Data | Add-Member NoteProperty Time ($null)
$Data | Add-Member NoteProperty UserName ($null)
$Data | Add-Member NoteProperty Address ($null)

$Events | %{

$Data.time = $_.TimeGenerated

$message = $_.message.split("`n") | %{$_.trimstart()} | %{$_.trimend()}

$Data.UserName = ($message | ?{$_ -like "Пользователь:*"} | %{$_ -replace "^.+:."} ) 
$Data.Address = ($message | ?{$_ -like "Адрес сети источника:*"} | %{$_ -replace "^.+:."}) 

$data

}
Такой скрипт выводит таблицу, где заполнена только первая колонка с датой, а имя пользователя и адрес остается пустым, в чем может быть дело?

Отправлено: 23:31, 18-03-2017 | #2

Название темы: отобрать пользователей по событию 4625 RemoteInteractive за определенную дату