アーカイブからイベントログの詳細情報を取得
すみません。Windows2012Serverで、
イベントログのアーカイブファイルからイベントログの詳細情報を取得したいと思っています。
取得したい情報は、
Get-EventLog -ComputerName 192.168.63.1 -LogName "Security" -After '2016/1/1' -Before '2016/2/1' | Select-Object EntryType,EventID,Source,TimeGenerated,Message | Where-Object {$_.EventID -in 4624,4778}
を実行したときのように下記の情報がほしいです。
1.日時、Source
2.Message
3.イベントID
4.サブジェクト
・セキュリティID
・アカウント名:
・アカウントドメイン
・ログオンID
5.ログオンタイプ
6.新しいログオン
・セキュリティID
・アカウント名:
・アカウントドメイン
・ログオンID
・ログオンGUID
7.プロセス情報
・プロセスID
・プロセス名
8.ネットワーク情報
・ワークステーション名: ACTSYS-ACT1B
・ソース ネットワーク アドレス
・ソース ポート
9.詳細な認証情報
・ログオンプロセス
・認証パッケージ
・移行されたサービス
・パッケージ名 (NTLM のみ)
・キーの長さ
ーーーーーーーーーーーーーー
(例)
EntryType : SuccessAudit
EventID : 4624
Source : Microsoft-Windows-Security-Auditing
TimeGenerated : 2016/03/01 15:51:00
Message : アカウントが正常にログオンしました。
サブジェクト:
セキュリティ ID: S-1-0-0
アカウント名: -
アカウント ドメイン: -
ログオン ID: 0x0
ログオン タイプ: 3
偽装レベル: %%1833 (これはなくてもいいです)
新しいログオン:
セキュリティ ID: S-1-5-21-3598203821-372466494
アカウント名: nana
アカウント ドメイン: A-AC2B
ログオン ID: 0x572e5efe
ログオン GUID: {00000000-0000-0000-0000-000000
プロセス情報:
プロセス ID: 0x0
プロセス名: -
ネットワーク情報:
ワークステーション名: MA-PC2
ソース ネットワーク アドレス: -
ソース ポート: -
詳細な認証情報:
ログオン プロセス: NtLmSsp
認証パッケージ: NTLM
移行されたサービス: -
パッケージ名 (NTLM のみ): NTLM V1
キーの長さ: 128
ーーーーーーーーーーーーーー
しかし
get-winevent -path 'C:\Event-Backup\Archive-Security-2016-01-27-11-29-40-032.evtx' -filterxpath "*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4624 or EventID=4778) and TimeCreated[@SystemTime>='2016-01-05T15:00:00.000Z' and @SystemTime<='2016-01-27T14:59:59.999Z']]]"
だと、
TimeCreated Id LevelDisplayName Message
2016/01/02 8:59:39 4624 情報 アカウントが正常にログオンしました。...
2016/01/02 8:49:39 4624 情報 アカウントが正常にログオンしました。...
と、
1.日時とSource
2.ログオン
3.イベントID
の情報しか取得できず、どうすればそれ以外の情報も取得できますでしょうか。
もしわかれば教えてください。よろしくお願いいたします。