Мне нужно экспортировать журнал событий безопасности Windows в файл CSV для быстрого аудита удаленных файлов. Мне просто нужны конкретные строки информации в моем блоке CSV, особенно в поле «Сообщение». Моя команда ниже:Powershell: как отфильтровать определенный текст?
Get-EventLog "Security" -before 4/10/2013 -InstanceId 4663 | select-object Index,TimeGenerated,Message | export-csv c:\export.csv
Выход выглядит следующим образом:
Index : 244336
TimeGenerated : 4/9/2013 6:06:33 PM
Message : An attempt was made to access an object.
Subject:
Security ID: S-0-0-00-0000000-0000000-000000
37-1111
Account Name: joeblow
Account Domain: contoso
Logon ID: 0x888210
Object:
Object Server: Security
Object Type: File
Object Name: C:\files\Important_doc.xls
Handle ID: 0x2178
Process Information:
Process ID: 0x4
Process Name:
Access Request Information:
Accesses: %%1537
Access Mask: 0x10000
Все, что мне нужно, это индекс, TimeGenerated, Сообщение-> AccountName и Сообщение-> object-> имя_объекта и Сообщение-> объект тип. Как отфильтровать его, чтобы он выглядел как что-то внизу или что-то достаточно чистое в CSV для просмотра в Excel?
Index : 244336
TimeGenerated : 4/9/2013 6:06:33 PM
Account name : joeblow
Object type : File
Object Name : c:\files\Important_doc.xls
Это сработало отлично! Спасибо! – user785179