none
работа с eventlog RRS feed

  • Вопрос

  • Доброго времени суток, делаю выборку событий журнала безопасности

    $Events = Get-EventLog security -after (get-date -hour 0 -minute 0 -second 0) | ?{$_.eventid -eq 4738 }

    как сделать выборку по нескольким eventid? при помощи оператора or?

    20 марта 2012 г. 16:28

Ответы

  • Get-EventLog security -InstanceId 4738,4672 -After ([datetime]::Today)

    или если с or

    ?{$_.eventid -eq 4738 -or $_.eventid -eq 4672}

    • Помечено в качестве ответа zaa 20 марта 2012 г. 16:54
    20 марта 2012 г. 16:34
    Отвечающий

Все ответы

  • Get-EventLog security -InstanceId 4738,4672 -After ([datetime]::Today)

    или если с or

    ?{$_.eventid -eq 4738 -or $_.eventid -eq 4672}

    • Помечено в качестве ответа zaa 20 марта 2012 г. 16:54
    20 марта 2012 г. 16:34
    Отвечающий
  • Если надо сравнить с большим набором, я предпочитаю делать так:

    ?{4738,4672 -contains $_.eventid}

    Но в данном случае, первый вариант Kazun'а, (с ключами InstanceID и After) будет гораздо более эффективнее, так как фильтрация будет выполняться на стороне журнала событий, а не после передачи в PowerShell всех событий из журнала.


    AKA Xaegr, MVP: PowerShell Блог: http://xaegr.wordpress.com

    21 марта 2012 г. 0:14
    Модератор