Учебник Powershell — фильтрация журналов событий Windows

Хотите узнать, как фильтровать журналы событий Windows с помощью Powershell? В этом уроке мы покажем вам, как фильтровать журналы событий с помощью командной строки.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Список оборудования

Здесь вы можете найти список оборудования, используемого для создания этого учебника.

Список оборудования

Эта ссылка будет также показать список программного обеспечения, используемого для создания этого учебника.

Похожий учебник — PowerShell

На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с PowerShell.

Учебник Powershell — фильтрация журналов событий Windows

Запустите командную строку Powershell с повышенными привилегиями.

Список всех файлов журнала.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Получите сводку по всем файлам журнала.

Copy to Clipboard

Получите сводку по всем включенным файлам журналов с записями больше 0.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

LogName                                                                        RecordCount IsEnabled IsClassicLog  LogMode        LogType
-------                                                                        ----------- --------- ------------  -------        -------
Windows PowerShell                                                                    1111      True         True Circular Administrative
System                                                                                5465      True         True Circular Administrative
Security                                                                              3950      True         True Circular Administrative
Application                                                                            698      True         True Circular Administrative
Microsoft-Windows-WinINet-Config/ProxyConfigChanged                                      1      True        False Circular    Operational
Microsoft-Windows-WindowsUpdateClient/Operational                                       53      True        False Circular    Operational
Microsoft-Windows-Windows Firewall With Advanced Security/Firewall                     454      True        False Circular    Operational

Перечислите все имена поставщиков журналов.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Перечислите тип событий, доступных в определенном поставщике журналов.

Copy to Clipboard

Перечислите события классического файла журнала.

Copy to Clipboard

Перечислите события современного файла журнала.

Copy to Clipboard

Фильтрация событий по имени журнала.

Copy to Clipboard

Фильтруйте события, используя имя журнала и идентификатор события.

Copy to Clipboard

Фильтрация событий с определенной датой начала.

Copy to Clipboard

Фильтрация событий с определенной датой начала и окончания.

Copy to Clipboard

Фильтрация событий в пределах определенного интервала времени.

Copy to Clipboard

Существует несколько способов фильтрации даты и времени.

Copy to Clipboard

Фильтрация событий по уровню ошибки.

Copy to Clipboard

Фильтрация событий с помощью содержимого сообщения.

Copy to Clipboard

Перечислите все поля, доступные для фильтрации события.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

TypeName: System.Diagnostics.Eventing.Reader.EventLogRecord

Name                 MemberType   Definition
----                 ----------   ----------
Dispose              Method       void Dispose(), void IDisposable.Dispose()
Equals               Method       bool Equals(System.Object obj)
FormatDescription    Method       string FormatDescription(), string FormatDescription(System.Collections.Generic.IEnumerable[System.Object] values)
GetHashCode          Method       int GetHashCode()
GetPropertyValues    Method       System.Collections.Generic.IList[System.Object] GetPropertyValues(System.Diagnostics.Eventing.Reader.EventLogPropertySelector propertySelector)
GetType              Method       type GetType()
ToString             Method       string ToString()
ToXml                Method       string ToXml()
Message              NoteProperty string Message=An account failed to log on....
ActivityId           Property     System.Nullable[guid] ActivityId {get;}
Bookmark             Property     System.Diagnostics.Eventing.Reader.EventBookmark Bookmark {get;}
ContainerLog         Property     string ContainerLog {get;}
Id                   Property     int Id {get;}
Keywords             Property     System.Nullable[long] Keywords {get;}
KeywordsDisplayNames Property     System.Collections.Generic.IEnumerable[string] KeywordsDisplayNames {get;}
Level                Property     System.Nullable[byte] Level {get;}
LevelDisplayName     Property     string LevelDisplayName {get;}
LogName              Property     string LogName {get;}
MachineName          Property     string MachineName {get;}
MatchedQueryIds      Property     System.Collections.Generic.IEnumerable[int] MatchedQueryIds {get;}
Opcode               Property     System.Nullable[int16] Opcode {get;}
OpcodeDisplayName    Property     string OpcodeDisplayName {get;}
ProcessId            Property     System.Nullable[int] ProcessId {get;}
Properties           Property     System.Collections.Generic.IList[System.Diagnostics.Eventing.Reader.EventProperty] Properties {get;}
ProviderId           Property     System.Nullable[guid] ProviderId {get;}
ProviderName         Property     string ProviderName {get;}
Qualifiers           Property     System.Nullable[int] Qualifiers {get;}
RecordId             Property     System.Nullable[long] RecordId {get;}
RelatedActivityId    Property     System.Nullable[guid] RelatedActivityId {get;}
Task                 Property     System.Nullable[int] Task {get;}
TaskDisplayName      Property     string TaskDisplayName {get;}
ThreadId             Property     System.Nullable[int] ThreadId {get;}
TimeCreated          Property     System.Nullable[datetime] TimeCreated {get;}
UserId               Property     System.Security.Principal.SecurityIdentifier UserId {get;}
Version              Property     System.Nullable[byte] Version {get;}

Получение имени и значения всех полей события.

Copy to Clipboard

Поздравляю! Вы можете фильтровать события журнала Windows с помощью Powershell.

Powershell — фильтрация журналов событий Windows

Powershell — фильтрация журналов событий Windows

Список оборудования

Похожий учебник — PowerShell

Учебник Powershell — фильтрация журналов событий Windows

Related Posts