Windows 事件查看器:将安全审核失败导出到 CSV
Windows Event Viewer: Export Security Audit Failure to CSV
作为我的安全管理职责的一部分,我需要查看 windows 域控制器上的事件日志以查找失败的登录尝试。
我目前所做的是转到 windows 事件查看器中的安全日志,并按审核失败进行过滤。我必须每天都这样做。对于一个简单的任务来说,这是一个有点繁琐和乏味的过程。
我希望能够使用 Powershell 提取我需要的信息并将其导出为 CSV,以便我可以轻松浏览信息并根据需要进行排序。
作为我正在尝试的示例,我绑定了以下内容:
Get-WinEvent -FilterHashtable @{ logname = 'Security'; id = 4771 } |
Export-Csv -NoType "c:\Output.csv"
问题是,此输出现在显示用户名、目标 IP 或端口。当我查看其中一个事件时,我发现可以在原始 XML 视图(TargetUserName、IpAddress、IpPort)中找到这些值,但我无法理解了解如何查询这些值以显示在输出中。有谁知道这是如何实现的?
您要查找的值在属性 属性 中。
试试这个:
Get-WinEvent -FilterHashtable @{ logname = 'Security'; id = 4771 } | Select-Object TimeCreated,
@{ Name='TargetUserName'; Expression={$_.Properties[0].value}},
@{ Name='IpPort'; Expression={$_.Properties[7].value}},
@{ Name='IpAddress'; Expression={$_.Properties[6].value -replace "::ffff:"}}
作为我的安全管理职责的一部分,我需要查看 windows 域控制器上的事件日志以查找失败的登录尝试。
我目前所做的是转到 windows 事件查看器中的安全日志,并按审核失败进行过滤。我必须每天都这样做。对于一个简单的任务来说,这是一个有点繁琐和乏味的过程。
我希望能够使用 Powershell 提取我需要的信息并将其导出为 CSV,以便我可以轻松浏览信息并根据需要进行排序。
作为我正在尝试的示例,我绑定了以下内容:
Get-WinEvent -FilterHashtable @{ logname = 'Security'; id = 4771 } |
Export-Csv -NoType "c:\Output.csv"
问题是,此输出现在显示用户名、目标 IP 或端口。当我查看其中一个事件时,我发现可以在原始 XML 视图(TargetUserName、IpAddress、IpPort)中找到这些值,但我无法理解了解如何查询这些值以显示在输出中。有谁知道这是如何实现的?
您要查找的值在属性 属性 中。 试试这个:
Get-WinEvent -FilterHashtable @{ logname = 'Security'; id = 4771 } | Select-Object TimeCreated,
@{ Name='TargetUserName'; Expression={$_.Properties[0].value}},
@{ Name='IpPort'; Expression={$_.Properties[7].value}},
@{ Name='IpAddress'; Expression={$_.Properties[6].value -replace "::ffff:"}}