#获取日志，事件ID 307即我们需要提取的事件。 path后的路径要与operational日志属性里的日志路径一致

$log = Get-WinEvent -Path "F:\pringlog\Microsoft-Windows-PrintService%4Operational.evtx" | where-object {$_.id -eq ""}

    #输出csv文件位置，用当前的日期运行。

$Path="F:\pringlog\$(Get-date -UFormat "%Y-%m-%d").csv"

foreach ($slog in $log)

{

    #取xml操作

     $xmltemp= $slog.ToXml()

     $xmldata = [xml]$xmltemp

    #取xml对应的node里的值

     $documentsName = $xmldata.Event.UserData.DocumentPrinted.Param2

     $userName = $xmldata.Event.UserData.DocumentPrinted.Param3

     $paGes = $xmldata.Event.UserData.DocumentPrinted.Param8

     $printerName = $xmldata.Event.UserData.DocumentPrinted.Param5

    #取日志时间

     $printTime = $slog.TimeCreated

    #自定义PSObject属性

     $hash = @{

     [string]"打印文件名"=$documentsName;

     [string]"用户名"=$userName;

     [string]"打印时间"=$printTime.ToString();

     [string]"打印机名称"=$printerName;

     [string]"打印页数"=$paGes}

     $logObj = New-Object PSObject -Property $hash

    #输出为CSV，逐条添加模式，不带TypeInformation，所以如果要重新输出，还得删掉以前的文件。

     Export-Csv -InputObject $logObj -Path $Path -Append -Encoding UTF8 -NoTypeInformation

}