主页 / server / 问题 / 682562
Accepted
Old Geezer
Asked: 2015-04-15 02:51:48 +0800 CST

如何按 SID 过滤 Windows 安全事件日志?

  • 772

我想过滤某个用户的事件日志,但我认为没有按 SAMID 搜索的选项。UserId根据这里,有一个过滤器。以下正确的语法在下面的屏幕截图中搜索用户是否正确?

$events = get-winevent -filterhashtable 
  @{ logname='security'; path="Archive-Security-2015-04-14-02-13-02-299.evtx";
  UserId='S-1-5-21-220523388-838170752-839522115-yyyy' }

活动

我收到“未找到符合指定选择条件的事件”。使用上述命令。但是,如果我删除密钥,则会返回一个长列表,因此orUserId应该没有问题。lognamepath

powershell

2 个回答

  1. Best Answer

    请改用该-FilterXPath选项!

    在以下示例中,我已将计算机上安全日志中的所有事件保存到桌面上,并使用 SubjectUserSid ( )seclog.evtx搜索事件:S-1-5-18LOCAL SYSTEM

    $events = Get-WinEvent -Path "$HOME\Desktop\seclog.evtx" -FilterXPath '*[EventData[Data[@Name="SubjectUserSid"] = "S-1-5-18"]]'

    在脚本中,我可能会选择一个splatting table 以使语句更具可读性(这里仅限于最后 10 个事件):

    $seclogSplat = @{
    'Path'        = "$HOME\Desktop\seclog.evtx"
    'FilterXPath' = '*[EventData[Data[@Name="SubjectUserSid"] = "S-1-5-18"]]'
    'MaxEvents'   = 10
}
$events = Get-WinEvent @seclogSplat

    您可以指定多个非排他性条件or

    *[EventData[Data[@Name="SubjectUserSid"] = "S-1-5-18" or Data[@Name="SubjectUserSid"] = "S-1-0-0"]]
    • 6

  2. 我不知道有任何内置方法可以找出特定的 UserID 是否存在。
    但是,您可以只匹配消息的内容来查找您的 SiD,因为它应该是唯一的:

    $events = get-winevent -logname security -path "Archive-Security-2015-04-14-02-13-02-299.evtx" | 其中 {$_.message -match 'S-1-5-21-220523388-838170752-839522115-yyyy'}

    还有一些使用 XML 过滤的更简洁的方法。
    但就个人而言,我还没有需要它们,到目前为止,与消息匹配的内容已经足够了。

    • 2

相关问题