我希望仅从安全中导出事件ID 4624。
下面的代码将导出安全中的所有事件(我只想要4624);
WEVTUtil query-events Security /rd:true /format:text > %~dp0Logins.txt /q:"<EventID>4624</EventID>"
当导出所有4624个事件后,我想筛选只有以下事件:
<Data Name='LogonProcessName'>User32 </Data>
这将是带有IP的RDP日志,因为“Microsoft-Windows-TerminalServices-RemoteConnectionManager / Operational”中的日志没有IP(仅有用户名):( 我听说这是因为RDP连接是TLS安全的...
/c:1
的两个出现。回答已更新。 - DavidPostill