我需要从事件日志中过滤上一个“启动事件”的 ID
我通过运行 psloglist -accepteula -n 1 -s -o "Microsoft-Windows-Kernel-General" -i 12 -t ; 得到它,我重定向到一个文件并需要过滤只有第一块数字后跟 ;在第二行,如下例所示
系统登录\FDU000084151005:
107604;System;Microsoft-Windows-Kernel-General;INFORMATION;FDU000084151005
请你帮我在powershell中写一下好吗?
【问题讨论】:
标签: powershell event-log boot
如何使用Get-WinEvent 获取它的示例:
get-winevent -FilterHashtable @{ProviderName = "Microsoft-Windows-Kernel-General" ; Id = 12} |
select -expand RecordId
【讨论】:
get-winevent -FilterHashtable @{ProviderName = "Microsoft-Windows-Kernel-General" ; Id = 12} | select -expand RecordId | select-object -first 1
您可能可以使用Get-WinEvent cmdlet 获取值,请查看帮助示例。我的系统上没有那个日志文件,所以我不能给你一个可行的例子。
这是一种使用匹配运算符和 $matches 集合从导出文件中提取值的方法:
Get-Content log.txt | Where-Object {$_ -match '^(\d+);'} | Foreach-Object { $matches[1] }
【讨论】: