環境
- Windows Server 2019 Datacenter Evaluation
- Windows Server 2016 Datacenter Evaluation
- Windows Server 2012 R2 Datacenter
- Windows Server 2008 R2 Datacenter
- Windows 10 Professional
ソースコード
以下の条件でログを抽出します。
サーバ:Windows2019
ログ:Security
アカウント名:root
get-winevent -logname Security -filterxpath "*[System[EventID='4624' or EventID='4634']] and *[EventData[Data[@Name='TargetUserName']='root']]"結果
ProviderName: Microsoft-Windows-Security-Auditing
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
2020/12/15 8:52:29 4634 情報 アカウントがログオフしました。...
2020/12/15 8:52:29 4634 情報 アカウントがログオフしました。...
2020/12/15 8:52:29 4624 情報 アカウントが正常にログオンしました。...
2020/12/15 8:52:29 4624 情報 アカウントが正常にログオンしました。...
2020/12/15 8:52:29 4624 情報 アカウントが正常にログオンしました。...
2020/12/15 8:52:29 4624 情報 アカウントが正常にログオンしました。...
2020/12/15 0:34:34 4634 情報 アカウントがログオフしました。...
・・・