下面的一些命令在使用 PowerShell 在 Windows 日志中查找特定关键字时不提供任何输出。
Get-WinEvent -FilterHashtable @{LogName="Application"} | Select-String "Information"
但是,如果我只运行Get-WinEvent -FilterHashtable @{LogName="Application"},则有很多带有信息关键字的条目。 Select-String -pattern "Information" 也不起作用。
理想情况下,我想在上述场景中搜索多个关键字。
【问题讨论】:
标签: powershell powershell-2.0 powershell-3.0 powershell-ise
你需要做的:
Get-WinEvent -FilterHashtable @{LogName="Application"} | ? { $_.leveldisplayname -eq 'Information' }
您正在寻找的Information 是对象的一个属性。 Get-WinEvent cmdlet 返回一个对象集合,因此您需要添加Where-Object 或? 来过滤LevelDisplayName 对象属性。
回答您的新问题:
leveldisplayname 将是信息、错误或警告。您可以添加其中任何一个或使用逻辑来组合它们。为了在消息中搜索关键字,使用正则表达式可能是最好的方法:
Get-WinEvent -FilterHashtable @{LogName="Application"} | ? message -imatch "keyword1"
要搜索多个关键字,您可以使用 OR | 运算符修改正则表达式:
Get-WinEvent -FilterHashtable @{LogName="Application"} | ? message -imatch "keyword1|keyword2|foo|bar"
如果您想搜索所有包含“foo”或“bar”的错误消息,您可以这样做;
Get-WinEvent -FilterHashtable @{LogName="Application"} | ? { ($_.message -imatch "foo|bar") -and ($_.leveldisplayname -eq 'Error') }
【讨论】:
Information 和Error)?