イベントログの出力を処理しやすい形式で出力
簡易には、これまで示したGet-WinEventコマンドの出力をSelect-Objectなどで必要なプロパティのみを取り出して出力するのでもいいのだが、中身が配列になっているPorpertiesの扱いがちょっと面倒だ。このため、Foreach-Objectを使って、
ForEach-Object {"{0}`t{1}`t{2}`t{3}" -F ($_.TimeCreated.ToString($myTfmt)),($_.RecordID),($myres[$_.id]),(対象により指定が違う部分) } `
といった形式で、タブ区切りの文字列出力を作ることにした。タブ区切りとしたのは、ExcelのCSVがフィールドの切れ目を誤解することがあるからだ。
ForEach-Objectは、パイプラインの前から来るオブジェクトの配列の各要素に対して{ }内のスクリプトを適用するものだ。Select-Objectでは、やってくるオブジェクトのプロパティしか指定できないので、Propertiesプロパティの中に入っている配列オブジェクトの一部を取り出すことができない。
しかし、ForEach-Objectの{ }内には、任意のスクリプトを記述できるため、プロパティの中のオブジェクトの一部を取り出すこともできる。また「"{0}`t{1}`t{2}`t{3}" -F ... 」という部分は、先頭のフォーマット指定文字列に対して、-F以降の計算式を当てはめて文字列として出力するもの。C言語でいうprintfと似たような機能で、{}で囲まれた部分が書式指定文字にあたる。「`t」はタブ文字を表すため、この部分では、後ろの計算式の結果をタブ区切りの文字列として出力できる。
ただし、イベントにより、最後の計算式は違いが出る。メッセージに埋め込む文字列は、イベントごとに違うからだ。このあたりをまとめたのが、以下の表である。
なお、PowerShellの配列の添え字は0から始まるが、イベントログのXML表現では、最初の要素が1になっているので差に注意が必要である。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
この連載の記事
-
第525回
PC
6月以降「PCが起動不可能に?」と間違った騒がれ方をしている原因の「セキュアブート」とは? -
第524回
PC
Windows Insider Programが変化 チャンネルが3つになって整理される -
第523回
PC
AI傾倒に一息入れて、既存のWindowsの改良を宣言するMicrosoft タスクバーを画面の上下左右に移動可能に!? -
第522回
PC
Windowsでも完全キーボード操作派は注目! PowerToysのコマンドパレット -
第521回
PC
Windowsでアプリをインストールしたときに警告が表示する「Defender SmartScreen」と「Smart App Control」 -
第520回
PC
WindowsターミナルのPreview版 v1.25では「操作」設定に専用エディタが導入 -
第519回
PC
「セキュアブート」に「TPM」に「カーネルDMA保護」、Windowsのセキュリティを整理 -
第518回
PC
WindowsにおけるUAC(ユーザーアカウント制御)とは何? 設定は変えない方がいい? -
第517回
PC
Windows 11の付箋アプリはWindowsだけでなく、スマホなどとも共有できる -
第516回
PC
今年のWindows 11には26H2以外に「26H1」がある!? 新種のCPUでのAI対応の可能性 -
第515回
PC
そもそも1キロバイトって何バイトなの? - この連載の一覧へ
