注册
登录
安全审计
Windows事件查看器:将安全审核失败导出到CSV
返回
Windows事件查看器:将安全审核失败导出到CSV
作者:
只怕再见是故人
发布时间:
2025-01-16 09:27:07 (2天前)
<p>作为安全管理员职责的一部分,我需要查看域控制器上的Windows事件日志,以查找失败的登录尝试。</p><p>我目前要做的是转到Windows事件查看器中的安全日志,并按“审核失败”进行筛选。我必须每天这样做。对于一个简单的任务来说,这是一个繁琐而乏味的过程。</p><p>我希望能够使用Powershell提取我需要的信息并将其导出到CSV,以便我可以轻松浏览信息并根据需要进行排序。</p><p>作为我尝试的示例,我绑定了以下内容:</p><p>Get-WinEvent -FilterHashtable @{ logname = ‘Security’; id = 4771 } |<br/> Export-Csv -NoType “c:\Output.csv”<br/>问题是,此输出现在确实显示了用户名,目标IP或端口。当我看到一个事件,我看到的是,这些数值可在原始XML视图中找到(TargetUserName,IpAddress,IpPort),但我只是无法弄清楚如何查询这些值在输出显示。有谁知道如何做到这一点?</p>
收藏
举报
2 条回复
1#
回复此人
春风助手
|
2020-08-04 10-45
您要查找的值在Properties属性中。试试这个: ``` Get-WinEvent -FilterHashtable @{ logname = 'Security'; id = 4771 } | Select-Object TimeCreated, @{ Name='TargetUserName'; Expression={$_.Properties[0].value}}, @{ Name='IpPort'; Expression={$_.Properties[7].value}}, @{ Name='IpAddress'; Expression={$_.Properties[6].value -replace "::ffff:"}} ```
编辑
登录
后才能参与评论
