目的
実行日の前日でイベントID:4625かつキーワードが「失敗の監査」をセキュリティのイベントログから抽出してファイルに書き込む。
セキュリティのイベントログを検索するには実行時に管理者権限が必要。
コード
#当日 0時
$today = ([Datetime](get-date -format "yyyy/MM/dd"))
#前日 0時
$yesterday = $today.adddays(-1)
#日付からファイル名作成
$yesterdaystr = $yesterday.ToString("yyyyMMdd")
$filename = "security-"+$yesterdaystr+".log"
#イベントログ検索
get-eventlog Security -InstanceId 4625 -EntryType FailureAudit -After $yesterday -Before $today | Format-List > $filename