Per trovare tutti gli eventi in cui la persona s.marzorati ha eseguito un logon:
Get-WinEvent -LogName Security -FilterXPath "*[System[EventID=4624 and TimeCreated[timediff(@SystemTime) <= 86400000]] and EventData[Data[@Name='SubjectUserName'] and Data = 's.marzorati']]"
Per trovare tutti gli eventi in cui la persona s.marzorati ha eseguito un logoff:
Get-WinEvent -LogName Security -FilterXPath "*[System[EventID=4634 and TimeCreated[timediff(@SystemTime) <= 86400000]] and EventData[Data[@Name='SubjectUserName'] and Data = 's.marzorati']]"
Per trovare tutti gli eventi in cui la persona s.marzorati non è riuscito ad eseguire un logon:
Get-WinEvent -LogName Security -FilterXPath "*[System[EventID=4625 and TimeCreated[timediff(@SystemTime) <= 86400000]] and EventData[Data[@Name='SubjectUserName'] and Data = 't.previti']]"
Se volete esportare in un file csv tutti i logon falliti, digitate:
GET-EVENTLOG -Logname Security | where { $_.EntryType -eq 'FailureAudit' } | export-csv C:\Failures.csv