Je vous parlais la fois précédente de l'utilisation de wevtutil.exe pour obtenir des informations de l'observateur d’événements.
Voyons voir maintenant ce qu'on peut en faire à partir de Powershell.
En partant de la vue personnalisée précédente, il est possible de l'exporter d'un simple clique droit.
De quoi est composé cet export ?
De plein de choses :p.
Ce qui nous intéresse en particulier de trouve entre les balises <QueryList><Query>
On y retrouve notre requête précédemment utilisée :
*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5) and (EventID=100) and TimeCreated[timediff(@SystemTime) <= 604800000]]]
Et si nous allons faire un tour, voir ce que savent en faire les Scripting Guys ?
Get-WinEvent -FilterXml ([xml](Get-Content C:\Users\Fred\Desktop\wevtutil\exportedCustomView.xml))
Hum, intéressant. et si on essayait ?
Premier essai ? Failed !
Bon, si on regarde les commentaires, il semble simplement qu’il faille indiquer plus précisément le chemin jusqu'à la requête.
Il semble qu'il existe 2 possibilités :
Get-WinEvent -FilterXML ([xml](Get-Content C:\Users\Fred\Desktop\wevtutil\exportedCustomView.xml)).ViewerConfig.QueryConfig.QueryNode.QueryList.OuterXml
ou
Get-WinEvent -FilterXml ([xml](Get-Content C:\Users\Fred\Desktop\wevtutil\exportedCustomView.xml)).SelectSingleNode("//QueryList").OuterXmlKweeel, cette fois ça marche :
Avec la première option, on navigue de balise en balise pour aller jusqu'à celle qui nous interesse.
.ViewerConfig.QueryConfig.QueryNode.QueryList
Avec la seconde, on accède immédiatement à la balise :
SelectSingleNode("//QueryList")
Référence :
http://blogs.technet.com/b/heyscriptingguy/archive/2011/11/14/use-custom-views-from-windows-event-viewer-in-powershell.aspx
Aucun commentaire:
Enregistrer un commentaire