Powershell安全日志Get-EventLog

Question

我正在尝试写一些东西在powershell和完全陌生的powershell，我需要帮助。我要做的是从安全日志中获取信息。具体地说，是用户在过去两周内的最后一次登录。到目前为止，我拥有的代码是根据最近100个事件获取事件ID 4624的登录名。这不仅会返回用户，还会返回计算机。如何在两周的时间内将结果限制为仅限用户？这有可能吗？

$eventList = @()
Get-EventLog "Security" -After $Date `
    | Where -FilterScript {$_.EventID -eq 4624 -and $_.ReplacementStrings[4].Length -gt 10} `
    | foreach-Object {
        $row = "" | Select UserName, LoginTime
        $row.UserName = $_.ReplacementStrings[5]
        $row.LoginTime = $_.TimeGenerated
        $eventList += $row
        }
$eventList

编辑:使用代码解决

$Date = [DateTime]::Now.AddDays(-14)
$Date.tostring("MM-dd-yyyy"), $env:Computername
$eventList = @()
Get-EventLog "Security" -After $Date `
    | Where -FilterScript {$_.EventID -eq 4624 -and $_.ReplacementStrings[4].Length -gt 10 -and $_.ReplacementStrings[5] -notlike "*$"} `
    | foreach-Object {
        $row = "" | Select UserName, LoginTime
        $row.UserName = $_.ReplacementStrings[5]
        $row.LoginTime = $_.TimeGenerated
        $eventList += $row
        }
$eventList

Answer 1

使用-before和-after参数按日期过滤日志。使用get-help get-eventlog -full查看所有参数。

Answer 2

用户的上次登录存储在Active Directory中。从那里提取数据似乎要比仔细阅读事件日志容易得多。

Answer 3

使用PowerShell搜索活动目录：

Import-Module ActiveDirectory

Get-QADComputer -ComputerRole DomainController | foreach {
(Get-QADUser -Service $_.Name -SamAccountName username).LastLogon.Value
} | Measure-Latest