1. 首页
  2. 问答
  3. 如何减少powershell命令的输出?

如何减少powershell命令的输出?

2016-08-23 109 views
0

我有一个将数据写入MS SQL数据库的powershell脚本。 我使用命令get-winevent如何减少powershell命令的输出?

Message很长,并且不包括所需的数据e.q. SID等。

如何切断此命令的输出?

更新

的代码片段看起来像:

$events = Get-WinEvent @{LogName = "System"; ID = 4726} | select LevelDisplayName, LogName, TaskDisplayName, TimeCreated,@{N='Message';E={ 
$m = [regex]::Match($_.Message, '.*Account Name: (?<account>[^ ]*).*Account Domain: (?<domain>[^ ]*).*') 
"Account Name: $($m.Groups['account']) Account Domain: $($m.Groups['domain'])" 
}} 

$events

在控制台输出看起来像:

LevelDisplayName:信息
LOGNAME:安全
TaskDisplayName:用户帐户管理
TimeCreated:2016年7月18日十一时55分42秒
消息:账户名称:username_xxx帐户域:

你怎么能在Account Name:和值是一些空的影响之间看到。我怎样才能忽略这种空洞的影响?

来源

2016-08-23 The D

+0

对你有什么影响?你需要截断消息,忽略消息? –

+0

是的,我想截断行消息。现在的输出是: 用户帐户已被删除。主题:安全ID:SID_xxx帐户名称:username_xxx帐户域:domain_xxxx登录ID:目标帐户:安全ID:SID_xxx帐户名称:name_xxx帐户域:domain_xxx其他信息:权限 - 我只想显示帐户名称和帐户域。 –

+0

答复已更新。 –

回答

0

您可能会使用Substring。

Get-WinEvent ... | 
    Select-Object TimeCreated, @{n='Message';e={ 
     if ($_.Message.Length -gt 500) { 
      $_.Message.Substring(0, 500) 
     } else { 
      $_.Message 
     } 
    }}

试图挑选出句子。这将重新汇编消息中的第一个和第五个句子。如果第五个是空白的,你只能得到第一个。修剪用于清除不必要的新行。

Get-WinEvent ... | 
    Select-Object TimeCreated, @{n='Message';e={ 
     $message = $_.Message -split '\. ' 
     ($message[0] + "`r`n" + $message[4]).Trim() 
    }}

来源

2016-08-23 07:32:44

+0

感谢您的回答!它的工作原理,我可以削减输出的一些部分。你现在是否可以削减一个命令的多个部分?例如我想要第一句和第五句。 –

+0

如果我们说句子是由一段时间后跟一个空格分隔的,那么我们可能会逃避一段时间。至少可以说有点粗糙。我会更新这个例子。 –

1

试试这个:

Get-WinEvent | select TimeCreated,@{N='Message';E={ 
    $split = $_.Message.Split('. '); 
    if ($split.Length -gt 4){ 
    [string]::Join('. ', ($split[0], $split[4])) 
    } else { 
    $_.Message 
    } 
}}

根据您的更新:

Get-WinEvent | select TimeCreated,@{N='Message';E={ 
    $m = [regex]::Match($_.Message, '.*Account Name: (?<account>[^ ]*).*Account Domain: (?<domain>[^ ]*).*') 
    "Account Name: $($m.Groups['account']) Account Domain: $($m.Groups['domain'])" 
}}

测试用例:

$arg = [PSCustomObject]@{TimeCreated=Get-Date;Message="A user account was deleted. Subject: Security ID: SID_xxx Account Name: username_xxx Account Domain: domain_xxxx Logon ID: Target Account: Security ID: SID_xxx Account Name: name_xxx Account Domain: domain_xxx Additional Information: Privileges"}, 
[PSCustomObject]@{TimeCreated=Get-Date;Message="A user account was deleted. Subject: Security ID: MySecurityID Account Name: myusername Account Domain: mydomain Logon ID: 0x30ffebc Target Account: Security ID: my securityid Account Name: myusername Account Domain: mydomain Additional Information: Privileges"}, 
[PSCustomObject]@{TimeCreated=Get-Date;Message="Account Domain: myuserdomain"}, 
[PSCustomObject]@{TimeCreated=Get-Date;Message="Account Name: myusername"} 

$arg | select TimeCreated,@{N='Message';E={ 
    $n = [regex]::Match($_.Message, '.*Account Name: ([^ $]*).*') 
    $d = [regex]::Match($_.Message, '.*Account Domain: ([^ $]*).*') 
    $result = if ($n.Success) { "Account Name: $($n.Groups[1])" } 

    if ($d.Success){ 
    if ($result) { $result += " Account Domain: $($d.Groups[1])" } 
    else { $result = "Account Domain: $($d.Groups[1])" } 
    } 
    $result 
}}

返回:

TimeCreated   Message           
-----------   -------           
2016-08-30 08:03:57 Account Name: name_xxx Account Domain: domain_xxx 
2016-08-30 08:03:57 Account Name: myusername Account Domain: mydomain 
2016-08-30 08:03:57 Account Domain: myuserdomain      
2016-08-30 08:03:57 Account Name: myusername

来源

2016-08-23 09:05:28

+0

我认为OP只想要“Message”的某些部分,而不是排除它。 – Syphirint

+0

是的,我想要留言的某些部分.... –

+0

您需要哪些零件?你可以编辑你的问题并指定? –

相关问题

 相关问题