イベントログのフィルタリングをしてみます。
C:\Users\takk>wevtutil qe system | findstr EventID.7001
7001はログインのイベントです。
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Pr
ovider Name='Microsoft-Windows-Winlogon' Guid='{dbe9b383-7cf3-4331-91cc-a3cb16a3
b538}'/><EventID>7001</EventID><Version>0</Version><Level>4</Level><Task>1101</T
ask><Opcode>0</Opcode><Keywords>0x2000200000000000</Keywords><TimeCreated System
Time='2019-03-23T14:28:26.888286600Z'/><EventRecordID>20915</EventRecordID><Corr
~省略~
b538}'/><EventID>7001</EventID><Version>0</Version><Level>4</Level><Task>1101</T
ask><Opcode>0</Opcode><Keywords>0x2000200000000000</Keywords><TimeCreated System
Time='2019-04-06T16:32:24.899058500Z'/><EventRecordID>26331</EventRecordID><Corr
elation/><Execution ProcessID='640' ThreadID='372'/><Channel>System</Channel><Co
mputer>DESKTOP-GQ56KQL</Computer><Security UserID='S-1-5-18'/></System><EventDat
a><Data Name='TSId'>1</Data><Data Name='UserSid'>S-1-5-21-3867154226-581149106-3
366728556-1001</Data></EventData></Event>
ログ多すぎたので、ログ数えます。
C:\Users\takk>wevtutil qe system | findstr EventID.7001 | wsl wc -l 13 C:\Users\takk>
13個ですね。
SystemTimeだけ抽出してみます。
C:\Users\takk>wevtutil qe system | findstr EventID.7001 | wsl sed 's/^.*SystemTime..\(..........\).*$/\1/' 2019-03-23 2019-03-24 2019-03-25 2019-03-26 2019-03-28 2019-03-28 2019-03-30 2019-03-30 2019-04-01 2019-04-02 2019-04-03 2019-04-05 2019-04-06 C:\Users\takk>
ログインした日付ですね。時間も抽出してみます。
C:\Users\takk>wevtutil qe system | findstr EventID.7001 | wsl sed 's/^.*SystemTime..\(..........T........\).*$/\1/' 2019-03-23T14:28:26 2019-03-24T16:21:58 2019-03-25T15:39:18 2019-03-26T15:51:52 2019-03-28T10:36:04 2019-03-28T16:28:25 2019-03-30T00:42:01 2019-03-30T12:53:05 2019-04-01T17:56:58 2019-04-02T15:48:20 2019-04-03T16:23:23 2019-04-05T15:38:45 2019-04-06T16:32:24 C:\Users\takk>
ログインした時刻もコマンドからさくっと見れますね。
コメント