QA@IT

Get-WinEventでアーカイブからイベントログの詳細情報を取得

8242 PV

すみません。Windows2012Serverで、
イベントログのアーカイブファイルからイベントログの詳細情報を取得したいと思っています。
取得したい情報は、
Get-EventLog -ComputerName 192.168.63.1 -LogName "Security" -After '2016/1/1' -Before '2016/2/1' | Select-Object EntryType,EventID,Source,TimeGenerated,Message | Where-Object {$_.EventID -in 4624,4778}

を実行したときのように下記の情報がほしいです。
1.日時、Source
2.Message
3.イベントID
4.サブジェクト
・セキュリティID
・アカウント名:
・アカウントドメイン
・ログオンID
5.ログオンタイプ
6.新しいログオン
・セキュリティID
・アカウント名:
・アカウントドメイン
・ログオンID
・ログオンGUID
7.プロセス情報
・プロセスID
・プロセス名
8.ネットワーク情報
・ワークステーション名: ACTSYS-ACT1B
・ソース ネットワーク アドレス
・ソース ポート
9.詳細な認証情報
・ログオンプロセス
・認証パッケージ
・移行されたサービス
・パッケージ名 (NTLM のみ)
・キーの長さ
ーーーーーーーーーーーーーー
(例)
EntryType : SuccessAudit
EventID : 4624
Source : Microsoft-Windows-Security-Auditing
TimeGenerated : 2016/03/01 15:51:00
Message : アカウントが正常にログオンしました。

            サブジェクト:
                セキュリティ ID:        S-1-0-0
                アカウント名:        -
                アカウント ドメイン:        -
                ログオン ID:        0x0

            ログオン タイプ:            3

            偽装レベル:        %%1833  (これはなくてもいいです)

            新しいログオン:
                セキュリティ ID:        S-1-5-21-3598203821-372466494
                アカウント名:        nana
                アカウント ドメイン:        A-AC2B
                ログオン ID:        0x572e5efe
                ログオン GUID:        {00000000-0000-0000-0000-000000

            プロセス情報:
                プロセス ID:        0x0
                プロセス名:        -

            ネットワーク情報:
                ワークステーション名:    MA-PC2
                ソース ネットワーク アドレス:    -
                ソース ポート:        -

            詳細な認証情報:
                ログオン プロセス:        NtLmSsp
                認証パッケージ:    NTLM
                移行されたサービス:    -
                パッケージ名 (NTLM のみ):    NTLM V1
                キーの長さ:        128

ーーーーーーーーーーーーーー

しかし
get-winevent -path 'C:\Event-Backup\Archive-Security-2016-01-27-11-29-40-032.evtx' -filterxpath "*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4624 or EventID=4778) and TimeCreated[@SystemTime>='2016-01-05T15:00:00.000Z' and @SystemTime<='2016-01-27T14:59:59.999Z']]]"

だと、
TimeCreated Id LevelDisplayName Message


2016/01/02 8:59:39 4624 情報 アカウントが正常にログオンしました。...
2016/01/02 8:49:39 4624 情報 アカウントが正常にログオンしました。...

と、
1.日時とMicrosoft-Windows-Security-Auditing
2.ログオン
3.イベントID
の情報しか取得できず、どうすればそれ以外の情報も取得できますでしょうか。
もしわかれば教えてください。よろしくお願いいたします。

回答

すみません。いろいろ試行錯誤していたら下記の情報で取れました。何とか今の問題が解決しそうです。

get-winevent -FilterHashtable @{path='C:\Event-Backup\Archive-Security-2016-01-27-11-29-40-032.evtx'; logname="Security"; id = (4778,4624); starttime = '2016-01-25T15:00:00.000Z'; endtime = '2016-01-31T14:59:59.999Z' }  | select *
編集 履歴 (0)
ウォッチ

この質問への回答やコメントをメールでお知らせします。