從 Powershell 獲取的事件日誌與事件日誌查看器之間的差異

域控制器作業系統 - Window Server 2008 R2

請參閱隨附的第一個 PrintScreen (Powershell.png)。在 Powershell 命令的幫助下，我正在嘗試檢查我的 DC 的事件日誌。請注意紅色矩形顏色框。失敗原因: %%2313 "

但是，如果我從事件查看器（附加的第二個列印螢幕 - EventViewer.png）檢查相同的日誌，則相同的事件 ID 在這裡清楚地顯示“失敗原因：未知使用者名或密碼錯誤”

為什麼使用 Powershell 相同的事件 id 會以某些語法顯示失敗原因，並且在 Windows 的事件查看器日誌中顯示正確？

在 Windows Vista 及更高版本上，您應該使用 Get-WinEvent，因為它可以在更多時間讀取擴展事件數據

有關此命令的更多詳細資訊，您可以使用 -? 象徵。或參考這篇文章 http://technet.microsoft.com/en-us/library/hh849682.aspx

引用自：https://serverfault.com/questions/479429