我知道我的日志文件和 EventID,因此我可以像这样过滤此事件 id 的所有记录:
Get-WinEvent -FilterHashtable @{LogName=$_.Logfile; ID=$_.EventIdentifier }
这将返回没有记录编号的 EventID 的所有记录,因此我将结果输入:
| Format-Table -Property RecordId,LevelDisplayName
我得到以下结果:
4461 Information
4280 Error
3833 Information
3761 Information
现在我应该通过recordId过滤掉尝试使用的4280记录
| where {($_.RecordId -eq '4280' )
但是这不会返回任何内容。我的预期结果应该是
4280 错误
获取事件日志-日志名称-索引|格式列表
如需提示,请尝试以下操作:
获取事件日志 -LogName 系统 -最新 10
注意索引字段 - 在事件查看器中打开记录 - 该字段是 EventRecordID
如何通过EventRecordID/Index获取一条记录
get-eventlog -LogName 系统-索引 35811 |格式列表
PowerShell 将其返回为索引
祝一切顺利,
保罗 ([电子邮件受保护])