原理就是读取系统事件日志 EventLog,事件相关信息也可以在事件查看器 eventvwr.msc 里找到。eventID 和 InstancedId 并不是一定相同的,事件查看器里只能看到 eventId。

Get-EventLog -LogName system | where {$_.eventID -eq 12} | format-list -property TimeGenerated
Get-EventLog -LogName system -InstanceId 12 | format-list -property TimeGenerated

标签: