Discussion :

[Lekno]

Bonjour à tous, je souhaiterai pouvoir ajouter en sortie dans mon fichier json la date de création d'un événement windows, savez-vous m'indiquer si il est possible de faire cela ? (Rien trouvé dans la doc de Get-WinEvent)

Actuellement je travail leavec :

Code PowerShell :

Sélectionner tout - Visualiser dans une fenêtre à part

Get-WinEvent -ComputerName MYLAPTOP –ListLog * | ConvertTo-Json | Out-File "C:\Users\userwindows\Documents\Downloads\file.json"

Ci-dessous je fournis un exemple d'event, je souhaiterai pouvoir ajouter à l'objet json la date ou a été généré l'event, savez-vous m'indiquer comment je peux faire cela ?

L'objectif finale étant de pouvoir filtrer par date de création d'un event

Code JSON :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
 
{
        "LogName":  "Windows PowerShell",
        "LogType":  0,
        "LogIsolation":  0,
        "IsEnabled":  true,
        "IsClassicLog":  true,
        "SecurityDescriptor":  "O:BAG:SYD:8253-543910227-1950414635-4190290187)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)",
        "LogFilePath":  "%SystemRoot%\\System32\\Winevt\\Logs\\Windows PowerShell.evtx",
        "MaximumSizeInBytes":  15728640,
        "LogMode":  0,
        "OwningProviderName":  "",
        "ProviderNames":  [
                              "PowerShell"
                          ],
        "ProviderLevel":  null,
        "ProviderKeywords":  null,
        "ProviderBufferSize":  64,
        "ProviderMinimumNumberOfBuffers":  0,
        "ProviderMaximumNumberOfBuffers":  64,
        "ProviderLatency":  1000,
        "ProviderControlGuid":  null,
        "FileSize":  1118208,
        "IsLogFull":  false,
        "LastAccessTime":  "\/Date(1581492925416)\/",
        "LastWriteTime":  "\/Date(1581492925416)\/",
        "OldestRecordNumber":  1,
        "RecordCount":  66
    },

[ericlm128]

Ci-dessous je fournis un exemple d'event

Ta commande ne semble pas retourner d'évènement, mais la liste des journaux d’événement.

Code powershell :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Get-WinEvent -ComputerName $env:COMPUTERNAME -ListLog * | Get-Member
 
TypeName : System.Diagnostics.Eventing.Reader.EventLogConfiguration
...

Voir : EventLogConfiguration



Un évènement est de type EventLogRecord
Il contient la propriétés TimeCreated, qui t’intéresse.

Exemple :

Code powershell :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Get-WinEvent -LogName Application | Get-Member
 
TypeName : System.Diagnostics.Eventing.Reader.EventLogRecord
...

Voir aussi : Get-WinEvent

[Lekno]

Merci pour tes précisions je vais creuser ca