Я использую:
"%windir%\system32\WindowsPowerShell\v1.0\powershell.exe" $log=Get-EventLog -LogName Security -InstanceID 4625 -After (Get-Date).AddDays(-60); if (($log)) {Write-Output $log[0].Message} ELSE {Write-Output 'WARNING-NoEventFound'}
Это работает идеально для меня. Я хочу расширить, если это возможно, и сказать, напишите вывод, если событие произошло более 5 раз. Похожий на:
Count(*) > 5, который я бы использовал в SQL.
Я хотел бы упомянуть альтернативу Get-EventLog: Get-WinEvent
Обычно он имеет гораздо лучшую производительность как локально, так и по сети, он может выполнять фильтрацию на стороне сервера с помощью -FilterHashTable перед отправкой результатов. Это может пригодиться, поскольку журналы Active Directory иногда могут быть довольно большими.
Поскольку вас интересует только, есть ли > 5 результатов или нет, мы также можем ускорить его, прервав работу, когда мы нашли 6 результатов, используя -MaxEvents, а затем просто проверим, нашли ли мы 6 событий или нет.
$maxEvents = 6
$filterHashtable = @{
LogName = 'Security'
Id = 4625
StartTime = (Get-Date).AddDays(-60)
}
$log = Get-WinEvent -FilterHashtable $filterHashtable -MaxEvents $maxEvents
if ($log.Count -ge $maxEvents) {
#your code here
Для удобочитаемости я предпочитаю иметь хэш-таблицу в переменной, но ее также можно записать как встроенную, с ; в качестве разделителя для пар ключ-значение:
Get-WinEvent -FilterHashtable @{ LogName = 'Security'; Id = ... }
.count, которое вы можете проверить.If ($log.count -gt 5){"whatever"}- person schedule 27.12.2018