Запуск Get-WinEvent с hashfilter из каталога — исключение в некоторых случаях

при беге

Get-WinEvent -FilterHashtable @{Path="U:\test\SavedSecurity.evtx";ID="4624";}

без прав администратора все работает нормально.

Даже

Get-WinEvent -FilterHashtable @{Path="U:\test\SavedSecurity.evtx";}

без фильтров работает нормально.

Но бег

Get-WinEvent -FilterHashtable @{Path="U:\test\SavedSecurity.evtx";ProviderName="Microsoft-Windows-Security-Auditing";ID="4624";}

не работает с UnauthorizedAccessException?

Я не могу фильтровать через ProviderName, не будучи администратором, но могу читать все события в виде большого списка?

Что я пытаюсь сделать, так это: отфильтровать все события входа-выхода из нескольких журналов событий (в одной папке) с информацией о том, был ли вход локальным или удаленным, и экспортировать их в CSV. Я не могу использовать Get-Event, потому что он не может обрабатывать события из пользовательских путей где-то на диске. Чтобы приблизиться, я разделил все, чтобы выяснить, что не так.


powershell event-log
person Peter Core    schedule 22.01.2018    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Ваш последний пример неверен. Либо поиск в файле, указанном путем, либо поиск в данных, предоставленных провайдером.

Вы пытались получить доступ к данным разными способами с разными правами доступа (путь или поставщик). В одном случае вы ищете в файле, которым владеете (экспортированный файл журнала). В этом случае у вас достаточно прав. Но у вас, возможно, нет прав на поиск в данных, предоставленных провайдером Microsoft-Windows-Security-Auditing. Для последнего вам потребуются права администратора. Обходного пути нет.

person kirsche40    schedule 15.02.2021