使用 Powershell 监控 EventID 的安全日志答案

【问题标题】：Monitoring Security logs for EventID using Powershell使用 Powershell 监控 EventID 的安全日志
【发布时间】：2013-02-22 10:18:13
【问题描述】：

我希望使用 Powershell 来监控 2003 年和 08 年服务器列表的“安全”日志以获取特定事件 ID。到目前为止我已经使用了这个

    $servers = gc c:\temp\servers.txt
foreach ($server in $servers)
{
     $Query = "SELECT * FROM __instanceCreationEvent WHERE TargetInstancISA 'Win32_NTLogEvent' AND TargetInstance.LogFile = 'Security' AND TargetInstance.EventCode = '529' "

    Register-WMIEvent -ComputerName $server -Query $Query -sourceIdentifier "$server" -Action

    {Write-Host "The following Event ID of 529 has been found in the Security log on $server}

    }

但是如何才能获得日志条目的时间戳，并且只有最新的时间戳（如果存在）？

【问题讨论】：

标签： powershell monitor event-id

【解决方案1】：

忘记 WMI。使用 get-eventlog。

[string[]]$Servers = @("server1","server2")
Get-EventLog -LogName Security -ComputerName $Servers -Newest 1 -InstanceId 529 | select EventID,TimeGenerated,MachineName

【讨论】：

【解决方案2】：

我不久前写了这篇文章，就是为了这样一个场合：

http://gallery.technet.microsoft.com/scriptcenter/ed188912-1a20-4be9-ae4f-8ac46cf2aae4

【讨论】：

应该可以。它专为您所描述的内容而设计 - 监控多个服务器的特定事件并发送通知。
好的，我运行了这个并按照说明进行操作，但收到此错误 [：数组分配给 [#] 失败：无法将值“#”转换为类型“System.Int32”。错误：“索引超出范围。必须为非负数且小于集合的大小。参数名称：startIndex”。在 C:\Scripts\Events Monitor.ps1:37 char:45 + Import-Csv alert_events.csv |% {$event_list[
它被设计成能够搜索多个事件。您需要编辑 .csv 文件并将“#”替换为您希望它搜索的事件 ID。

【解决方案3】：

保持简单：

$servers = gc c:\temp\servers.txt
foreach ($server in $servers)
{
    $events = Get-EventLog -ComputerName $server -LogName "Security" | Where-Object     {$_.EventID -eq "529"}
    if ($events -ne $null)
    {
        foreach ($event in $events)
        {
            $event.TimeGenerated
        }
    }
}

【讨论】：

谢谢，我知道你可以这样做，但是 1）在多台计算机上运行时速度很慢，2）它不会通知我任何新事件的到来。