powershellを使用したログオン/ログオフイベントの抽出

Question

Windows 7ワークステーションからローカルログオン/ログオフのリストを抽出する必要があります。セキュリティイベントログの保存されたコピーをevtx形式で取得しましたが、いくつか問題があります。

次のPowerShell抽出ID 4624または4634と、すべてのイベント：

Get-WinEvent -Path 'C:\path\to\securitylog.evtx' | where {$_.Id -eq 4624 -or $_.Id -eq 4634} 

私は、その後だけlogon type = 2 (local logon)をフィルタリングします。この配管：

| where {$_.properties[8].value -eq 2} 

はしかし、すべてのid=4634（ログオフ）イベントをドロップするようです。

イベントid = 4624イベントであっても、ユーザーIDは存在しません。例えば配管へ：

| select-object -property Timecreated,TaskDisplayName,MachineName,userid 

あるいはExport-Csvへの配管、useridは空白です。

2つの問題は、次のとおりです。

1. どこ{$_.properties[8].value -eq 2}にパイプするとき、ID 4634のイベントを廃棄しているのはなぜ？
2. なぜuseridが空ですか？ useridを入手するにはどうすればよいですか？

Answer 1

1. 8は魔法の数字ではありません。これは、4624イベントで定義されたXMLの9番目のプロパティー（0から始まる索引）です。 [Details]タブを開いてXMLビューに切り替えると、イベントビューアで表示されます。 4634イベントを見ると、Logon Typeプロパティが5番目になっていることが分かります。クエリを次のように変更することができます。

   {{$ .Id -eq 4624 - および$ .properties [8] -eq 2} -OR {$ .ID -eq 4634 -and $の.properties [4] -eq 2}}

2. ユーザIDがちょうどこれらのイベントのために定義されていません。 XMLで定義されたTargetUserNameプロパティー（6番目のプロパティー）を調べることができます。

Answer 2

[OK]をクリックします。そのため

$evts = Get-WinEvent -Path 'C:\path\to\securitylog.evtx' | where {($_.Id -eq 4624 -and $_.properties[8].value -eq 2) -or ($_.Id -eq 4634 -and $_.properties[4].value -eq 2) } 
foreach ($e in $evts) 
{ 
    # get the attributes 
    $ds = $e.TimeCreated 
    $tdn = $e.TaskDisplayName 
    $mn = $e.MachineName 

    # userid will vary depending on event type: 
    if($e.Id -eq 4624) { $userid = $e.properties[5].value } 
    if($e.Id -eq 4634) { $userid = $e.properties[1].value } 

    write-host ("{0},{1},{2},{3}" -f [string]$ds,[string]$tdn,[string]$mn,[string]$userid) 
}