用Get-winevent获取转发事件的时间？

Question

日安。我正在尝试使用get-winevent过滤日志。当我使用本地日志作为安全性、系统等时，一切正常。StartTime工作正常。

$yesterday = (get-date) - (new-timespan -day 1) 
$a = get-winevent -FilterHashTable @{LogName='system'; StartTime=$yesterday}

当我尝试将此命令与“转发的事件”一起使用时，出现错误："Get-WinEvent :找不到与指定选择条件匹配的事件。“只有"StartTime“和"EndTime”有问题。

有人知道问题出在哪里吗？

Answer 1

对于这些类型的日志，您需要使用xpath查询，这很复杂。

$query=@"
<QueryList>
  <Query Id='0' Path='Microsoft-Windows-Dhcp-Client/Admin'>
    <Select Path='Microsoft-Windows-Dhcp-Client/Admin'>*[System[TimeCreated[timediff(@SystemTime) &lt;= 2592000000]]]</Select>
  </Query>
</QueryList>
"@

get-winevent -LogName Microsoft-Windows-Dhcp-Client/Admin -FilterXPath $query

我在ForwardedEvents中没有任何东西，所以我使用了一个不同的日志。最好的做法是使用EventViewer构建查询，然后复制并粘贴。您很可能需要摆弄引号字符。