boa tarde,
Tenho os seguintes eventos que gostaria de extrair que são:
4624 Logon
4778 Reconectar
4634 LOGOFF
4779 Desconectado
Tenho o seguinte Script mas só funciona somente com o logon
$data = Get-Date -Format "ddMMyyyy"
$Nome = "Auditoria" + $data + ".txt"
$UserName='LuizHenrique';
$SearchID='4624'
get-childitem "C:\Windows\System32\winevt\Logs\Security.evtx" | select FullName | forEach{
%{get-winevent -filterHashTable @{path=$_.Fullname;ID=$SearchID} |
? {$_.Properties[5].Value -match $UserName} |
Select-Object -Property TimeCreated, `
@{Name='AccountName';Expression={$_.Properties[5].Value}}, `
@{Name='AccountDomain';Expression={$_.Properties[6].Value}}, `
@{Name='LogonType';Expression={$_.Properties[8].Value}}, `
@{Name='SourceNetworkaddress';Expression={$_.Properties[18].Value}} |
Format-Table -AutoSize | Out-File ("c:\temp\"+$Nome) -Append
}}
Alguém pode me ajudar a ele pegar os eventos que preciso, tentei alterar mas não grava nada.
Vlww
Tiago Frioli
