Didacticiel Powershell - Filtrage des journaux d’événements Windows

Souhaitez-vous apprendre à filtrer les journaux d’événements Windows à l’aide de Powershell ? Dans ce tutoriel, nous allons vous montrer comment filtrer les journaux d’événements à l’aide de la ligne de commande.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Fenêtres 2022
• Windows 10
• Windows 11

Liste des équipements

Ici, vous pouvez trouver la liste des équipements utilisés pour créer ce tutoriel.

Liste des équipements

Ce lien affichera également la liste logicielle utilisée pour créer ce tutoriel.

Tutoriel connexe - PowerShell

Sur cette page, nous offrons un accès rapide à une liste de tutoriels liés à PowerShell.

Didacticiel Powershell - Filtrage des journaux d’événements Windows

Démarrez une ligne de commande Powershell avec élévation de privilèges.

Répertoriez tous les fichiers journaux.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

Obtenez un résumé de tous les fichiers journaux.

Copy to Clipboard

Obtenez un résumé de tous les fichiers journaux activés avec des enregistrements supérieurs à 0.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

LogName                                                                        RecordCount IsEnabled IsClassicLog  LogMode        LogType
-------                                                                        ----------- --------- ------------  -------        -------
Windows PowerShell                                                                    1111      True         True Circular Administrative
System                                                                                5465      True         True Circular Administrative
Security                                                                              3950      True         True Circular Administrative
Application                                                                            698      True         True Circular Administrative
Microsoft-Windows-WinINet-Config/ProxyConfigChanged                                      1      True        False Circular    Operational
Microsoft-Windows-WindowsUpdateClient/Operational                                       53      True        False Circular    Operational
Microsoft-Windows-Windows Firewall With Advanced Security/Firewall                     454      True        False Circular    Operational

Répertoriez tous les noms de fournisseurs de journaux.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

Répertoriez le type d’événements disponibles sur un fournisseur de journaux spécifique.

Copy to Clipboard

Répertoriez les événements d’un fichier journal classique.

Copy to Clipboard

Répertoriez les événements d’un fichier journal moderne.

Copy to Clipboard

Filtrez les événements à l’aide du nom du journal.

Copy to Clipboard

Filtrez les événements à l’aide du nom du journal et de l’ID d’événement.

Copy to Clipboard

Filtrez les événements avec une date de début spécifique.

Copy to Clipboard

Filtrez les événements avec une date de début et de fin spécifique.

Copy to Clipboard

Filtrez les événements dans un intervalle de temps spécifique.

Copy to Clipboard

Il existe plusieurs façons de filtrer la date et l’heure.

Copy to Clipboard

Filtrez les événements à l’aide du niveau d’erreur.

Copy to Clipboard

Filtrez les événements à l’aide du contenu du message.

Copy to Clipboard

Répertoriez tous les champs disponibles pour filtrer un événement.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

TypeName: System.Diagnostics.Eventing.Reader.EventLogRecord

Name                 MemberType   Definition
----                 ----------   ----------
Dispose              Method       void Dispose(), void IDisposable.Dispose()
Equals               Method       bool Equals(System.Object obj)
FormatDescription    Method       string FormatDescription(), string FormatDescription(System.Collections.Generic.IEnumerable[System.Object] values)
GetHashCode          Method       int GetHashCode()
GetPropertyValues    Method       System.Collections.Generic.IList[System.Object] GetPropertyValues(System.Diagnostics.Eventing.Reader.EventLogPropertySelector propertySelector)
GetType              Method       type GetType()
ToString             Method       string ToString()
ToXml                Method       string ToXml()
Message              NoteProperty string Message=An account failed to log on....
ActivityId           Property     System.Nullable[guid] ActivityId {get;}
Bookmark             Property     System.Diagnostics.Eventing.Reader.EventBookmark Bookmark {get;}
ContainerLog         Property     string ContainerLog {get;}
Id                   Property     int Id {get;}
Keywords             Property     System.Nullable[long] Keywords {get;}
KeywordsDisplayNames Property     System.Collections.Generic.IEnumerable[string] KeywordsDisplayNames {get;}
Level                Property     System.Nullable[byte] Level {get;}
LevelDisplayName     Property     string LevelDisplayName {get;}
LogName              Property     string LogName {get;}
MachineName          Property     string MachineName {get;}
MatchedQueryIds      Property     System.Collections.Generic.IEnumerable[int] MatchedQueryIds {get;}
Opcode               Property     System.Nullable[int16] Opcode {get;}
OpcodeDisplayName    Property     string OpcodeDisplayName {get;}
ProcessId            Property     System.Nullable[int] ProcessId {get;}
Properties           Property     System.Collections.Generic.IList[System.Diagnostics.Eventing.Reader.EventProperty] Properties {get;}
ProviderId           Property     System.Nullable[guid] ProviderId {get;}
ProviderName         Property     string ProviderName {get;}
Qualifiers           Property     System.Nullable[int] Qualifiers {get;}
RecordId             Property     System.Nullable[long] RecordId {get;}
RelatedActivityId    Property     System.Nullable[guid] RelatedActivityId {get;}
Task                 Property     System.Nullable[int] Task {get;}
TaskDisplayName      Property     string TaskDisplayName {get;}
ThreadId             Property     System.Nullable[int] ThreadId {get;}
TimeCreated          Property     System.Nullable[datetime] TimeCreated {get;}
UserId               Property     System.Security.Principal.SecurityIdentifier UserId {get;}
Version              Property     System.Nullable[byte] Version {get;}

Obtenez le nom et la valeur de tous les champs d’un événement.

Copy to Clipboard

félicitations! Vous pouvez filtrer les événements de journal Windows à l’aide de Powershell.

Powershell - Filtrage des journaux d’événements Windows

Powershell - Filtrage des journaux d’événements Windows

Liste des équipements

Tutoriel connexe - PowerShell

Didacticiel Powershell - Filtrage des journaux d’événements Windows

Related Posts