プロが教える店舗&オフィスのセキュリティ対策術

Get-Eventlogコマンドレットを使用して、エラーとクリティカルのみのイベントログを抽出し、CSVファイルに出力しようとしいますが、クリティカルを抽出することができません。
その後、クリティカルは「-EntryType」に分類されておらず、「0」と指定すれば出力されることが分かりましたが、この方法だと必ずしもクリティカルだけ抽出されるわけではないようでした。
不要なログは除外するといった書き方にするなどして、エラーとクリティカルのみを抽出できるようにしたいのですが、何か良い方法はないでしょうか。
ご教示お願いいたします。

A 回答 (3件)

No.1です。



> where-object{$_.EntryType -Like "0"}

仰るとおり試してみましたが、私にはどれがCriticalなのか判別できませんでした。
私の環境では表示されなかったのかもしれません。


> 「0」と出力されたIDを確認するとほとんどInformationですが、まれにCriticalもあります。

ということが、InstanceIDの数値で判別できるということですよね?
でしたら

where-object{$_.EntryType -Like "0" -and $_.InstanceId -gt 1000}

の様な書き方で抽出できませんか?
上の例は InstanceIDが1001以上という条件をandさせたものです。
    • good
    • 0
この回答へのお礼

>InstanceIDの数値で判別できるということですよね?
InstanceIDの数値というのは、わかりませんが、
「EntrhyType」0で出力されたEventIDを参照して、イベントビューアーでInformationだと確認しています。
Criticalログは、当面、イベントビューアーで確認することにします。

ご回答ありがとうございました。

お礼日時:2019/09/20 01:00
    • good
    • 0
この回答へのお礼

教えていただいたURLと類似する情報も他のサイトで確認し、Get-wineventも試していたのですが、Get-eventlogに比べて難しいように感じました。
今後、もう少し調べてみることにします。
ご回答ありがとうございました。

お礼日時:2019/09/20 01:21

こちらでCriticalなログを再現できないので具体的な回答はできませんが……



このログはCriticalだよと識別できる情報は出力されるのですよね?
でしたら、それをForEach-Object内で抽出すれば良いだけだと思います。


> 「0」と指定すれば出力されることが分かりました

これは具体的にどう指定するのですか?

再現方法あるいはCriticalログの出力結果などをご提示いただければ
もう少し具体的な回答がつくかもしれません。
    • good
    • 0
この回答へのお礼

>このログはCriticalだよと識別できる情報は出力されるのですよね?

> これは具体的にどう指定するのですか?

「where-object{$_.EntryType -Like "Error"}」でエラーが出ますが”Critical”と書いても出力されません。

「where-object{$_.EntryType -Like "0"}」として「0」と出力されたIDを確認するとほとんどInformationですが、まれにCriticalもあります。

「where-object{$_.EntryType -ne "Information"}」で除外しようとしても、「EntryType」「0」は"Information”なっていました。
Criticalはあまりありませんので、とりあえずは、ファイルに出力できなくても良しとします。

ご回答ありがとうございました。

お礼日時:2019/09/19 00:40

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!