[문의내용]
서버 이벤트 로그의 특정 ID (예 사용자 로그인 이벤트)를 서버에 저장해서 관리하고 싶다
매일 지정한 이벤트 ID를 csv 파일로 저장하는 방법 문의
[문의답변]
아래 Powershell 소스입니다.
아래 기간 즉 오늘 오전12시 부터 내일 오전 12시까지 (24시간) 동안 4634,2635 event id 내용을 아래 outevent.csv 파일로 저장
4634,4624 원하는 Event ID를 넣으시면 됩니다.(여러개의 Event ID도 가능)
-After $Begin -Before $End 원하는 기간 설정
c:\temp\outevent.csv 네트워크 UNC path를 넣게 되면 다른 서버에 저장을 할 수 있겠죠.
-Append 명령어로 해당 파일에 계속 추가로 내용을 저장
| $Begin = (Get-Date).Date #오늘 오전 12시 $End = Get-Date # 현재 시간 # $End = ((Get-Date).Date).AddDays(1) #내일 오전 12시 - 현재 시간으로 변경하고 주석 처리 함. Get-EventLog -LogName Security -InstanceId 4634,4624 -After $Begin -Before $End | Export-Csv c:\temp\outevent.csv -Encoding UTF8 -Append |
확인 명령어로 아래와 같이 서버에서 쉽게 내용을 확인 가능, 항목별 필터도 가능
| Import-Csv "C:\Temp\outevent.csv" | Out-GridView |
댓글