【发布时间】:2017-02-02 23:38:41
【问题描述】:
我只想从安全中导出事件 id 4624
下面的代码从安全中导出所有事件(我只想要 4624);
WEVTUtil query-events Security /rd:true /format:text > %~dp0Logins.txt /q:"<EventID>4624</EventID>"
当导出所有 4624 个事件时,我只想过滤事件:
<Data Name='LogonProcessName'>User32 </Data>
这将是带有 IP 的 RDP 日志,因为“Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational”中的日志没有 IP(只有用户名):(我听说这是因为 RDP 连接受 TLS 保护...
【问题讨论】:
标签: windows batch-file event-viewer wevtutil