1
如何正确使用关键字属性获取审计失败事件日志?我相信失败日志的关键字是-9218868437227405312并尝试做powershell - 只获取审计失败事件日志
[email protected]{
logname='security'
providername='Microsoft-Windows-Security-Auditing'
keywords=-9218868437227405312
}
get-winevent -filterhashtable $filter
,但我得到不期望的结果,包括成功事件。
还是有另一种使用get-winevent获取审计失败日志的方法吗?