Esercitazione Powershell - Filtraggio dei registri eventi di Windows

Vuoi imparare a filtrare i registri eventi di Windows usando Powershell? In questo tutorial, ti mostreremo come filtrare i registri eventi utilizzando la riga di comando.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Finestre 2022
• Windows 10
• Windows 11

Elenco attrezzature

Qui puoi trovare l'elenco delle attrezzature utilizzate per creare questa esercitazione.

Elenco attrezzature

Questo link mostrerà anche l'elenco software utilizzato per creare questa esercitazione.

Esercitazione correlata - PowerShell

In questa pagina viene offerto un accesso rapido a un elenco di esercitazioni relative a PowerShell.

Esercitazione Powershell - Filtraggio dei registri eventi di Windows

Avviare una riga di comando Powershell con privilegi elevati.

Elencare tutti i file di registro.

Copy to Clipboard

Ecco l'output del comando.

Copy to Clipboard

Ottenere un riepilogo di tutti i file di registro.

Copy to Clipboard

Ottenere un riepilogo di tutti i file di registro abilitati con record superiori a 0.

Copy to Clipboard

Ecco l'output del comando.

Copy to Clipboard

LogName                                                                        RecordCount IsEnabled IsClassicLog  LogMode        LogType
-------                                                                        ----------- --------- ------------  -------        -------
Windows PowerShell                                                                    1111      True         True Circular Administrative
System                                                                                5465      True         True Circular Administrative
Security                                                                              3950      True         True Circular Administrative
Application                                                                            698      True         True Circular Administrative
Microsoft-Windows-WinINet-Config/ProxyConfigChanged                                      1      True        False Circular    Operational
Microsoft-Windows-WindowsUpdateClient/Operational                                       53      True        False Circular    Operational
Microsoft-Windows-Windows Firewall With Advanced Security/Firewall                     454      True        False Circular    Operational

Elencare tutti i nomi dei provider di log.

Copy to Clipboard

Ecco l'output del comando.

Copy to Clipboard

Elencare il tipo di eventi disponibili in un provider di log specifico.

Copy to Clipboard

Elencare gli eventi di un file di registro classico.

Copy to Clipboard

Elencare gli eventi di un file di registro moderno.

Copy to Clipboard

Filtrare gli eventi utilizzando il nome del registro.

Copy to Clipboard

Filtrare gli eventi utilizzando il nome del registro e l'ID evento.

Copy to Clipboard

Filtrare gli eventi con una data di inizio specifica.

Copy to Clipboard

Filtra gli eventi con una data di inizio e di fine specifica.

Copy to Clipboard

Filtrare gli eventi all'interno di un intervallo di tempo specifico.

Copy to Clipboard

Esistono diversi modi per filtrare data e ora.

Copy to Clipboard

Filtrare gli eventi utilizzando il livello di errore.

Copy to Clipboard

Filtrare gli eventi utilizzando il contenuto del messaggio.

Copy to Clipboard

Elenca tutti i campi disponibili per filtrare un evento.

Copy to Clipboard

Ecco l'output del comando.

Copy to Clipboard

TypeName: System.Diagnostics.Eventing.Reader.EventLogRecord

Name                 MemberType   Definition
----                 ----------   ----------
Dispose              Method       void Dispose(), void IDisposable.Dispose()
Equals               Method       bool Equals(System.Object obj)
FormatDescription    Method       string FormatDescription(), string FormatDescription(System.Collections.Generic.IEnumerable[System.Object] values)
GetHashCode          Method       int GetHashCode()
GetPropertyValues    Method       System.Collections.Generic.IList[System.Object] GetPropertyValues(System.Diagnostics.Eventing.Reader.EventLogPropertySelector propertySelector)
GetType              Method       type GetType()
ToString             Method       string ToString()
ToXml                Method       string ToXml()
Message              NoteProperty string Message=An account failed to log on....
ActivityId           Property     System.Nullable[guid] ActivityId {get;}
Bookmark             Property     System.Diagnostics.Eventing.Reader.EventBookmark Bookmark {get;}
ContainerLog         Property     string ContainerLog {get;}
Id                   Property     int Id {get;}
Keywords             Property     System.Nullable[long] Keywords {get;}
KeywordsDisplayNames Property     System.Collections.Generic.IEnumerable[string] KeywordsDisplayNames {get;}
Level                Property     System.Nullable[byte] Level {get;}
LevelDisplayName     Property     string LevelDisplayName {get;}
LogName              Property     string LogName {get;}
MachineName          Property     string MachineName {get;}
MatchedQueryIds      Property     System.Collections.Generic.IEnumerable[int] MatchedQueryIds {get;}
Opcode               Property     System.Nullable[int16] Opcode {get;}
OpcodeDisplayName    Property     string OpcodeDisplayName {get;}
ProcessId            Property     System.Nullable[int] ProcessId {get;}
Properties           Property     System.Collections.Generic.IList[System.Diagnostics.Eventing.Reader.EventProperty] Properties {get;}
ProviderId           Property     System.Nullable[guid] ProviderId {get;}
ProviderName         Property     string ProviderName {get;}
Qualifiers           Property     System.Nullable[int] Qualifiers {get;}
RecordId             Property     System.Nullable[long] RecordId {get;}
RelatedActivityId    Property     System.Nullable[guid] RelatedActivityId {get;}
Task                 Property     System.Nullable[int] Task {get;}
TaskDisplayName      Property     string TaskDisplayName {get;}
ThreadId             Property     System.Nullable[int] ThreadId {get;}
TimeCreated          Property     System.Nullable[datetime] TimeCreated {get;}
UserId               Property     System.Security.Principal.SecurityIdentifier UserId {get;}
Version              Property     System.Nullable[byte] Version {get;}

Ottenere il nome e il valore di tutti i campi di un evento.

Copy to Clipboard

Congratulazioni! È possibile filtrare gli eventi del registro di Windows utilizzando Powershell.

Powershell - Filtraggio dei registri eventi di Windows

Powershell - Filtraggio dei registri eventi di Windows

Elenco attrezzature

Esercitazione correlata - PowerShell

Esercitazione Powershell - Filtraggio dei registri eventi di Windows

Related Posts