使用 PowerShell 的 Get-WinEvent cmdlet 和 XPath 查詢語言的示例,用於檢索 Windows 事件日誌中的事件。以下是每個示例的說明:
-
獲取所有 4624 事件:
powershellCopy CodeGet-WinEvent -LogName Security -FilterXPath "*/System/EventID=4624"這條命令將從 Security 日誌中獲取所有事件 ID 為 4624 的事件。
-
獲取除了 4624 之外的所有事件:
powershellCopy CodeGet-WinEvent -LogName Security -FilterXPath "*/System/EventID!=4624"這條命令將從 Security 日誌中獲取除了事件 ID 為 4624 之外的所有事件。
-
獲取除了 4624 和 4648 之外的所有事件:
powershellCopy CodeGet-WinEvent -LogName Security -FilterXPath "*/System[EventID!=4624 and EventID!=4648]"這條命令將從 Security 日誌中獲取除了事件 ID 為 4624 和 4648 之外的所有事件。
-
獲取所有警告級別及以上的事件:
powershellCopy CodeGet-WinEvent -LogName System -FilterXPath "*/System/Level<=3"這條命令將從 System 日誌中獲取所有警告級別(Level)為 3 及以上的事件。
這些示例展示瞭如何使用 XPath 查詢語言在 PowerShell 中精確篩選和提取特定的事件日誌資料。你可以根據自己的需求修改 XPath 表示式以及日誌名稱、級別等引數來獲取所需的事件資訊。