powershell - 只获取审计失败事件日志

Question

如何正确使用关键字属性获取审计失败事件日志？我相信失败日志的关键字是-9218868437227405312并尝试做

$filter=@{ 
    logname='security' 
    providername='Microsoft-Windows-Security-Auditing' 
    keywords=-9218868437227405312 
} 
get-winevent -filterhashtable $filter 

，但我得到不期望的结果，包括成功事件。

还是有另一种使用get-winevent获取审计失败日志的方法吗？

Answer 1

我会用Get-EventLog而不是Get-WinEvent。当我比较两者时，速度大约快10倍。

Get-EventLog Security -EntryType FailureAudit