使用PowerShell和WMI读取安全日志

Question

我正在构建一个脚本来从多台计算机读取安全日志。 使用 Get-EventLog 命令时，我可以毫无问题地从本地计算机读取安全日志，但问题是我无法在远程计算机上运行它（该脚本适用于 powershell v1）。 下面的命令永远不会返回任何结果，尽管与任何其他日志文件一起，它可以完美地工作：

gwmi 类 Win32_NTLogEvent | 其中 {$_.LogFile -eq "Security"}

我做了一些研究，我似乎是一个模拟问题，但是 Get-WmiObject 的 -Impersonation 选项似乎没有实现。 无论如何，这个问题有解决办法吗？ 解决方案可以以某种方式在远程计算机上运行 Get-EventLog，或者处理模拟问题以便可以访问安全日志。 谢谢

Answer 1

您可以直接使用 .NET，而不是通过 WMI。 下面的脚本块将为您提供安全日志中的第一个条目

$logs = [System.Diagnostics.EventLog]::GetEventLogs('computername')
$security = $logs | ? {$_.log -like 'Security'} 
$security.entries[0]

Answer 2

您是否尝试过使用 -Credential 参数？ 另外，使用filter参数而不是where-object，它只获取安全事件（where-object从所有日志中获取所有事件，然后才执行过滤）

gwmi Win32_NTLogEvent -filter "LogFile='Security'" -computer comp1, comp2 - 凭据域\用户