при беге
Get-WinEvent -FilterHashtable @{Path="U:\test\SavedSecurity.evtx";ID="4624";}
без прав администратора все работает нормально.
Даже
Get-WinEvent -FilterHashtable @{Path="U:\test\SavedSecurity.evtx";}
без фильтров работает нормально.
Но бег
Get-WinEvent -FilterHashtable @{Path="U:\test\SavedSecurity.evtx";ProviderName="Microsoft-Windows-Security-Auditing";ID="4624";}
не работает с UnauthorizedAccessException?
Я не могу фильтровать через ProviderName, не будучи администратором, но могу читать все события в виде большого списка?
Что я пытаюсь сделать, так это: отфильтровать все события входа-выхода из нескольких журналов событий (в одной папке) с информацией о том, был ли вход локальным или удаленным, и экспортировать их в CSV. Я не могу использовать Get-Event
, потому что он не может обрабатывать события из пользовательских путей где-то на диске. Чтобы приблизиться, я разделил все, чтобы выяснить, что не так.