استعلام سجلات الأحداث بكفاءة مع PowerShell Get-EventLog

PS> Get-EventLog -LogName Application -InstanceId 916

PS> Get-EventLog -LogName Application -InstanceId 916 -Message '*svchost*'

<#
.ملخص
    يبحث هذا النص البرمجي في كمبيوتر Windows عن جميع سجلات الحدث أو سجلات النص بين وقت بداية ونهاية محدد.
.الوصف
    يستعرض هذا النص البرمجي جميع سجلات الحدث خلال الإطار الزمني المحدد وجميع سجلات النص التي تحتوي على وقت كتابة آخر داخل الإطار الزمني أو تحتوي على سطر يحتوي على إشارة تاريخ/وقت داخل الإطار الزمني. يسجل هذه المعلومات في مجموعة من الملفات وينسخ أي ملف سجل مثير للاهتمام لمزيد من التحليل.
.مثال
    PS> .\Get-EventsFromTimeframe.ps1 -StartTimestamp '01-29-2014 13:25:00' -EndTimeStamp '01-29-2014 13:28:00' -ComputerName COMPUTERNAME

    يعثر هذا المثال على جميع إدخالات سجل الحدث بين StartTimestamp و EndTimestamp وأي ملف بامتداد داخل معلمة $FileExtension الذي تم كتابته آخر مرة خلال الإطار الزمني أو يحتوي على سطر يحتوي على إشارة تاريخ/وقت داخل الإطار الزمني.
.المعلمة StartTimestamp
 أقرب تاريخ/وقت ترغب في البحث عن الأحداث ابتداءً.
.المعلمة EndTimestamp
 أحدث تاريخ/وقت ترغب في البحث عن الأحداث ابتداءً.
.المعلمة Computername
 اسم الكمبيوتر البعيد (أو المحلي) الذي ترغب في البحث عليه.
.المعلمة OutputFolderPath
 مسار المجلد الذي سيحتوي على الملفات النصية التي تحتوي على الأحداث.
.المعلمة LogAuditFilPath
 مسار الملف النصي الذي سيوثق ملف السجل ورقم السطر ونوع المطابقة للسجلات التي تمت المطابقة عليها.
.المعلمة EventLogsOnly
 استخدم هذه المعلمة التبديلية إذا كنت ترغب فقط في البحث في سجلات الأحداث.
.المعلمة LogFilesOnly
 استخدم هذه المعلمة إذا كنت ترغب فقط في البحث عن سجلات على نظام الملفات.
.المعلمة ExcludeDirectory
 إذا كنت تبحث في نظام الملفات، فحدد أي مسارات مجلد ترغب في تخطيها.
.المعلمة FileExtension
 حدد واحد أو أكثر من مجموعات مفصولة بفاصلة من الامتدادات التي ترغب في البحث عنها على نظام الملفات. يفترض افتراضيًا أن هذا الأمر ممتد لامتدادات 'log' و 'txt' و 'wer'.
#>
[CmdletBinding(DefaultParameterSetName = 'Neither')]
param (
    [Parameter(Mandatory)]
    [datetime]$StartTimestamp,
    [Parameter(Mandatory)]
    [datetime]$EndTimestamp,
    [Parameter(ValueFromPipeline,
        ValueFromPipelineByPropertyName)]
    [string]$ComputerName = 'localhost',
    [Parameter()]
 [string]$OutputFolderPath = ".\$Computername",
 [Parameter(ParameterSetName = 'LogFiles')]
 [string]$LogAuditFilePath = "$OutputFolderPath\LogActivity.csv",
 [Parameter(ParameterSetName = 'EventLogs')]
 [switch]$EventLogsOnly,
    [Parameter(ParameterSetName = 'LogFiles')]
    [switch]$LogFilesOnly,
    [Parameter(ParameterSetName = 'LogFiles')]
 [string[]]$ExcludeDirectory,
 [Parameter(ParameterSetName = 'LogFiles')]
 [string[]]$FileExtension = @('log', 'txt', 'wer')
)
 
begin {
 if (!$EventLogsOnly.IsPresent) {
 ## إنشاء المجلد المحلي حيث يتم تخزين أي ملفات سجل تطابقت مع المعايير
 $LogsFolderPath = "$OutputFolderPath\logs"
 if (!(Test-Path $LogsFolderPath)) {
 mkdir $LogsFolderPath | Out-Null
 }
 }
 
 function Add-ToLog($FilePath,$LineText,$LineNumber,$MatchType) {
 $Audit = @{
 'FilePath' = $FilePath;
 'LineText' = $LineText
 'LineNumber' = $LineNumber
 'MatchType' = $MatchType
 }
 [pscustomobject]$Audit | Export-Csv -Path $LogAuditFilePath -Append -NoTypeInformation
 }
}
 
process {
 
    ## تشغيل الأمر فقط إذا أراد المستخدم العثور على إدخالات سجل الحدث
    if (!$LogFilesOnly.IsPresent) {
 ## العثور على جميع أسماء سجلات الحدث التي تحتوي على حدث واحد على الأقل
 $Logs = (Get-WinEvent -ListLog * -ComputerName $ComputerName | where { $_.RecordCount }).LogName
 $FilterTable = @{
 'StartTime' = $StartTimestamp
 'EndTime' = $EndTimestamp
 'LogName' = $Logs
 }
 
 ## العثور على جميع الأحداث في جميع سجلات الحدث التي تقع بين الطوابق الزمنية البداية والنهاية
 $Events = Get-WinEvent -ComputerName $ComputerName -FilterHashtable $FilterTable -ea 'SilentlyContinue'
 Write-Verbose "Found $($Events.Count) total events"
 
 ## تحويل الخصائص إلى شيء أكثر ودية وإلحاق كل حدث في ملف نص سجل الحدث
 $LogProps = @{ }
 [System.Collections.ArrayList]$MyEvents = @()
 foreach ($Event in $Events) {
 $LogProps.Time = $Event.TimeCreated
 $LogProps.Source = $Event.ProviderName
 $LogProps.EventId = $Event.Id
 if ($Event.Message) {
 $LogProps.Message = $Event.Message.Replace("<code>n", '|').Replace("</code>r", '|')
 }
 $LogProps.EventLog = $Event.LogName
 $MyEvents.Add([pscustomobject]$LogProps) | Out-Null
 }
 $MyEvents | sort Time | Export-Csv -Path "$OutputFolderPath\eventlogs.txt" -Append -NoTypeInformation
 }
 
 ## تشغيل الأمر فقط إذا أراد المستخدم العثور على ملفات سجل
 if (!$EventLogsOnly.IsPresent) {
        ## استعراض جميع حصص المسؤول البعيدة على الكمبيوتر البعيد. أفعل ذلك بدلاً من استعراض جميع الأقراص المادية لأن
        ## قد تكون القرص هناك والحصة قد لا تكون موجودة مما يعني أنني لا أستطيع الوصول إلى القرص على أي حال.
 $Shares = Get-WmiObject -ComputerName $ComputerName -Class Win32_Share | where { $_.Path -match '^\w{1}:\\$' }
 [System.Collections.ArrayList]$AccessibleShares = @()
 ## التأكد من الوصول إلى جميع حصص المسؤول البعيدة
 foreach ($Share in $Shares) {
 $Share = "\\$ComputerName\$($Share.Name)"
 if (!(Test-Path $Share)) {
 Write-Warning "Unable to access the '$Share' share on '$Computername'"
 } else {
 $AccessibleShares.Add($Share) | Out-Null 
 }
 }
 
 $AllFilesQueryParams = @{
 Path = $AccessibleShares
 Recurse = $true
 Force = $true
 ErrorAction = 'SilentlyContinue'
 File = $true
 }
 ## إضافة أي مجلدات محددة في معلمة $ExcludeDirectory لعدم البحث عن ملفات السجل فيها
 if ($ExcludeDirectory) {
 $AllFilesQueryParams.ExcludeDirectory = $ExcludeDirectory 
 }
 ## إنشاء سلسلة regex المجنونة التي أستخدمها للبحث عن عدد مختلف من تنسيقات التاريخ/الوقت.
 ## يتم استخدام هذا في محاولة البحث عن سلاسل تاريخ/وقت في كل ملف نصي تم العثور عليه
 ##TODO: إضافة قدرة للمطابقة على Jan،Feb،Mar،الخ
 $DateTimeRegex = "($($StartTimestamp.Month)[\\.\-/]?$($StartTimestamp.Day)[\\.\-/]?[\\.\-/]$($StartTimestamp.Year))|($($StartTimestamp.Year)[\\.\-/]?$($StartTimestamp.Month)[\\.\-/]?[\\.\-/]?$($StartTimestamp.Day))"
 ## عد فقط الملفات التي تطابق معلمات الاستعلام وتحتوي على محتوى
 Get-ChildItem @AllFilesQueryParams | where { $_.Length -ne 0 } | foreach {
 try {
 Write-Verbose "Processing file '$($_.Name)'"
 ## تسجيل الملف إذا كان وقت الكتابة الأخير داخل الإطار الزمني. يعثر هذا على ملفات السجل التي قد لا تسجل تاريخ/وقت
 ## وقت لكن قد تكون متورطة في أي حدث يحاول المستخدم العثور عليه.
 if (($_.LastWriteTime -ge $StartTimestamp) -and ($_.LastWriteTime -le $EndTimestamp)) {
 Write-Verbose "Last write time within timeframe for file '$($_.Name)'"
 Add-ToLog -FilePath $_.FullName -MatchType 'LastWriteTime'
 }
 ## إذا كان الملف الذي تم العثور عليه يتطابق مع مجموعة الامتدادات التي أحاول العثور عليها وهو في الواقع ملف نصي عادي.
 ## استخدم Get-Content للتحقق مرتين فقط من أنه ملف نصي عادي قبل تحليله.
 if ($FileExtension -contains $_.Extension.Replace('.','') -and !((Get-Content $_.FullName -Encoding Byte -TotalCount 1024) -contains 0)) {
 ## تحقق من محتويات ملف النص من الإشارات إلى التواريخ في الإطار الزمني
 Write-Verbose "Checking log file '$($_.Name)' for date/time match in contents"
 $LineMatches = Select-String -Path $_.FullName -Pattern $DateTimeRegex
 if ($LineMatches) {
 Write-Verbose "Date/time match found in file '$($_.FullName)'"
 ## تسجيل جميع السطور المتطابقة في ملف التدقيق.
 foreach ($Match in $LineMatches) {
 Add-ToLog -FilePath $_.FullName -LineNumber $Match.LineNumber -LineText $Match.Line -MatchType 'Contents'
 }
 ## إنشاء نفس المسار إلى ملف السجل على الكمبيوتر البعيد داخل مجلد سجل الإخراج و
 ## نسخ ملف السجل بحدث داخل الإطار الزمني إلى تلك المسار.
 ## لن يعمل هذا إذا واجهت مسار ملف أعلى من 255 حرفًا.
 $Trim = $_.FullName.Replace("\\$Computername\", '')
 $Destination = "$OutputFolderPath\$Trim"
 if (!(Test-Path $Destination)) {
 ##TODO: إزالة إجراء الخطأ عندما يتم تنفيذ دعم المسار الطويل
 mkdir $Destination -ErrorAction SilentlyContinue | Out-Null
 }
 Copy-Item -Path $_.FullName -Destination $Destination -ErrorAction SilentlyContinue -Recurse
 }
 }
 } catch {
 Write-Warning $_.Exception.Message 
 }
 }
 }
}