获取Windows登录失败日志记录

  在工作中，出于安全考虑，需要对登录windows失败事件进行复查，为避免暴力破解，可能需要封堵IP。
  在windows中，登录失败会进行记录。运行eventvwr.msc，在windows日志->安全下，可看到对应的日志记录，登录失败的事件ID为4625。

  为自动化处理，可在PowerShell中运行以下命令，获取近一天的登录失败记录。

$StartTime = (Get-Date).AddDays(-1)
$AllEntries = Get-WinEvent -FilterHashtable @{ LogName='Security';StartTime = $StartTime;Id=4625}
$AllEntries | Foreach {$entry = [xml]$_.ToXml();[array]$Output += New-Object PSObject -Property @{TimeCreated = $_.TimeCreated;IPAddress = $entry.SelectSingleNode("//*[@Name='IpAddress']").innerxml}}
$Output | Select TimeCreated,IPAddress

本地登录IP是127.0.0.1，如果是远程登录，记录的IP是远程IP。