【发布时间】:2014-10-02 09:27:48
【问题描述】:
我正在尝试通过 Powershell 中的Get-EventLog 获取 Windows Sever 2008 机器的意外关机时间。我可以通过搜索 EventID 为 6008 的事件并仅选择 message 来接近,但我需要在字段内解析以获取它发生的时间(而不是事件触发的时间)。
我尝试使用replacementstrings[x],但找不到如何指定要使用的字段 (messages) 并且无法获得结果。
get-eventlog -LogName System -ComputerName svr-name | Where-Object {$_.EventID -eq 6008 -AND $_.timegenerated -gt (get-date).adddays(-30)}| select message
产生这个:
Message
-------
The previous system shutdown at 3:35:32 AM on 7/29/2014 was unexpected.
The previous system shutdown at 3:40:06 PM on 7/10/2014 was unexpected.`
【问题讨论】:
标签: powershell event-log get-eventlog