【Power Shell】Windows Defenderのイベントログを取得する

概要
サンプルプログラム
実行結果
参考①
参考②

概要

「Get-WinEvent」により「新形式のイベントログ」を取得できる。

サンプルプログラム

Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational" | 
Where-Object{
($_.Id -eq "1000" -or $_.Id -eq "1001" -or $_.Id -eq "1002" -or $_.Id -eq "1013") -and 
($_.TimeCreated -gt "2021/11/01" -and $_.TimeCreated -lt "2021/12/01")
}

「LogName」に「Microsoft-Windows-Windows Defender/Operational」を指定する(1行目)。
※最後に「|」を付ける(パイプを付ける)。

「Where-Object」で条件を指定する(2行目)。

条件としてイベントIDを指定する(3行目)。
上記では「1000」、「1001」、「1002」、「1013」を指定している。

条件として日付を指定する(4行目)。
※上記では「2021年11月」となるように、「2021/11/01より大きい　かつ　2021/12/01より小さい」と指定している。

実行結果

Windows Defenderのイベントログを取得できた。

参考①

手動でWindows Defenderのイベントログを取得することもできます。

詳細は以下の記事をご確認ください。

【Windows】Windows Defenderのイベントログ(スキャンのログ)を取得する

参考②

イベントID(抜粋)について。

Id	Message
1000	Microsoft Defender ウイルス対策スキャンが開始されました
1001	Microsoft Defender ウイルス対策スキャンが終了しました
1002	Microsoft Defender ウイルス対策スキャンは完了する前に停止しました
1013	Microsoft Defender ウイルス対策でマルウェアおよび他の望ましくない可能性のあるソフトウェアの履歴が削除されました

イベントID(抜粋)