Powershell解析select-object更深入

Question

因此，对于@Frode给我的这个脚本，我将如何进一步解析它呢？

这是弗罗德F.给我的--

Get-WinEvent -FilterHashtable @{
LogName = 'Security'
ID = 4688
} | Select-Object TimeCreated,@{name='NewProcessName';expression={ $_.Properties[5].Value }}, @{name='CommandLine';expression={ $_.Properties[8].Value }}

现在，我如何解析它以删除某些事件？这是我的密码-

$search = @("C:\*")
Get-WinEvent -FilterHashtable @{
LogName = 'Security'
ID = 4688
} | Select-Object TimeCreated,@{name='NewProcessName';expression={ $_.Properties[5].Value }}, @{name='CommandLine';expression={ $_.Properties[8].Value }
}  | Where-Object -FilterScript { $_.Properties[8].Value -notlike $search} 

这一直给我一个不能索引到空数组。

Answer 1

Where-Object cmdlet对从前面的Select-Object cmdlet输出的结果进行操作。

试着替换：

$_.Properties[8].Value -notlike $search

通过以下方式：

$_.CommandLine -notlike $search

编辑：@Negorath和Kiran是正确的。如果您在选择之前重新安排管道来筛选，您可能会得到一个更好的执行解决方案。