Объект WScript.Shell метод LogEvent - Журнал событий Windows. Классический журнал событий evt

Классический вид журнала событий в Windows 7

Одной из немногих вещей, которые мне не нравится в Windows 7 и ее старшем брате Windows Server 2008 – новый вид журнала событий (event view). Пользовательский интерфейс нового журнала событий стал слишком неудобный (появилось большое кол-во вложенных элементов), и что самое важное – журнал работать заметно медленнее. Производительность его настолько не впечатляет, что иногда я почти чувствую физические  муки при его использовании . Такой вид и такая работа журнала событий стала использоваться, начиная с Windows Vista, и к сожалению в лучшую сторону почти ничего не изменилось. К счастью, в новых версиях Windows, все ещё можно активировать старый «классический» вид журнала событий.

Во всех своих новых ОС (Windows 7, Server 2008/R2 и Vista) Microsoft все еще оставила небольшую лазейку, позволяющую активировать старый, добрый стандартный вид журнала событий, который использовался в Window XP/2000 и Server 2000/2003. По умолчанию эта функция отключена. Для активация классического вида event viewer в  MMC, необходимо в командной строке с правами администратора(!), набрать следующую команду:

regsvr32 els.dll

Теперь в консоли MMC возможно добавить оснастку со стандартным видом журнала событий, для чего набираем: mmc.exe, в появившемся окне управления оснастками «Add or Remove Snap-ins», выбираем оснастку «Classic Event Viewer» и добавляем ее в консоль:

Вот и все! Мы вернулись к классическому виду журнала событий в Windows 7, который выглядит примерно так:

С еще одним интересным сценарием использования журналов событий в Windows 7/2008, а именно функцией  Event Log forwarding subscription, рекомендую познакомиться в статье централизованном Event Log в Windows 7/2008.

winitpro.ru

Ведение журнала событий

Запрошенная вами тема показана ниже. Однако эта тема не включена в библиотеку.

Эта документация перемещена в архив и не поддерживается.

Visual Studio 2010

Windows Communication Foundation (WCF) отслеживает внутренние события в журнале событий Windows.

Просмотр журналов событий

Автоматическая запись событий в журнал включена по умолчанию, механизма ее отключения не существует. События, записанные в журнал WCF, можно просмотреть с помощью средства "Просмотр событий". Чтобы запустить это средство, нажмите Пуск, Панель управления, дважды щелкните Администрирование и Просмотр событий.

Журнал событий приложений

Журнал событий приложений содержит большую часть событий, созданных WCF. В большинстве записей указаны сбои при запуске определенных функций какого-либо приложения. См. примеры ниже.

• Ведение журнала/трассировка сообщений: WCF вносит событие в журнал событий в случае сбоя трассировки и ведения журнала сообщений. Однако не при каждом сбое трассировки возникает событие. Чтобы избежать переполнения журнала событий сбоями трассировки, в WCF реализован 10-минутный период отключения для такого события. Это означает, что если WCF записывает сбой трассировки в журнал событий, такая запись не повторится в течение как минимум еще 10 минут.
• Общий прослушиватель: служба совместного использования портов WCF TCP вносит событие в журнал в случае сбоя при ее запуске.
• CardSpace: вносит события в журнал в случае сбоя при запуске службы.
• Критические события и события ошибок, например сбои при запуске или сбои системы
• Ведение журнала сообщений включено: события вносятся в журнал, когда ведение журнала событий включено. Это делается для оповещения администратора о том, что конфиденциальная информация, относящаяся к приложению, может быть внесена в журнал в заголовках и телах сообщений.
• Событие вносится в журнал, когда задан атрибут enableLoggingKnownPII в элементе machineSettings файла machine.config. Этот атрибут задает, разрешено ли какому-либо приложению, выполняющемуся на компьютере, вносить в журнал личную информацию (PII).
• Если атрибут logKnownPii в файле app.config или web.config задан как true для определенного приложения, чтобы включить ведение журнала PII, а атрибут enableLoggingKnownPII в элементе machineSettings файла machine.config задан как false, событие вносится в журнал. Кроме того, если оба атрибута logKnownPii и enableLoggingKnownPII заданы как true, событие вносится в журнал. Дополнительные сведения по этим параметрам конфигурации см. в разделе "Безопасность" темы Настройка ведения журнала сообщений.

Журнал событий безопасности

Журнал событий безопасности содержит события аудита безопасности, внесенные в журнал WCF.

Журнал системных событий

WCF не вносит никакой информации в Журнал системных событий.

Записи журнала событий

Источник события является именем сборки, создающей запись в журнале.

Тип записи в журнале событий используется для указания важности события. Каждое событие должно относиться к одному типу, определяемому приложением при записи этого события. Средство "Просмотр событий" использует этот тип для определения значка, отображаемого в представлении списка журнала событий. Описание разных типов записей журнала событий см. в EventLogEntryType.

Если во время просмотра события в средстве "Просмотр событий" нажать "подробнее", это средство может отправить информацию через Интернет. Дополнительные сведения см. в справке по средству "Просмотр событий".

См. также

msdn.microsoft.com

Обзор программы NetWrix Event Log Manager 4.0 / Блог компании Netwrix / Хабр

Недавно мы публиковали пост, посвященный 10 критически важным event ID, мониторинг которых необходимо осуществлять. И, честно говоря, были очень удивлены тому, сколько пользователей скачали нашу программу для управления журналами Event Log Manager, о которой мы писали в самом конце статьи. Поэтому в этом посте мы хотели бы рассказать о том, что из себя представляет программа и какие задачи по управлению журналами помогает решать. Также в конце обзора есть презентация, в которой демонстрируется работа программы. Заинтересованных приглашаем под кат.

Работая с журналами событий, Вы наверняка сталкивались с тем, что необходимо анализировать данные отдельно на каждом из доменов. К тому же, если не приняты специальные (не отмечено “Архивировать данные журналов” в …), записи имеются свойство очищаться (перезаписываться). А свободное место имеет свойство быстро заканчиваться. Поэтому для дополнения функциональности журналов событий разрабатываются специальные решения. Какие-то из них перерастают в масштабные SIEM системы, какие-то призваны решать вполне конкретные задачи по анализу, оповещению и консолидированию. Именно о последнем варианте речь и пойдет в этом обзоре.

NetWrix Event Log Manager – программа, предназначенная для консолидации данных журналов событий и их архивирования, а также создания оповещений на заданные события в режиме реального времени. У нас только что вышел новый релиз программы (v 4.0), в котором присутствует следующий функционал: • Консолидация всех данных журнала событий и syslog’a по всех сети в центральное хранилище (в новой версии добавлен мониторинг syslog журналов Red Hat Linux и Ubuntu 11). • Сжатие и архивирование собранных данных для удобного анализа, предотвращения потери данных и целей аудита. • Хранение записей журналов в базе данных SQL. • Определение критических событий и отправка уведомлений по электронной почте. • Отчеты на основе служб отчетности SQL (SRS) с возможностью фильтрации, группировки и сортировки; стандартные отчеты для выполнения требований нормативов по ИБ (GLBA, HIPAA, SOX, and PCI). • Формирование отчетов за любой указанный период в прошлом.

Принцип работы программы продемонстрирован на рисунке ниже.

Обзор NETWRIX ENTERPRISE MANAGEMENT CONSOLE

Работа с полной версией программы осуществляется через консоль NETWRIX ENTERPRISE MANAGEMENT CONSOLE, которая позволяет конфигурировать наблюдаемые объекты, задавать их настройки и настраивать отчеты (в бесплатной версии конфигурирование и настройка осуществляется в одном окне).

Внутри консоли можно: • Управлять настройками всех программ NetWrix для аудита изменений через единый интерфейс • Создавать и конфигурировать Наблюдаемые объекты для Windows и Syslog-платформ • Активировать и настроить расширенные отчеты (на основе SSRS) • Активировать и настроить уведомления в режиме реального времени • Активировать и настроить долгосрочное архивирование данных • Посмотреть отчеты во встроенном браузере • Активировать и настроить подписку на отчеты • Осуществить единократную настройку всех наблюдаемых объектов

Сбор данных

NetWrix Event Log Manager собирает данные аудита, хранит их в архиве аудита и/или базе данных SQL и отправляет итоговые отчеты по событиям (по умолчанию в 3:00). Чтобы вручную получить итоговые результаты по событиям, необходимо в консоли NetWrix Enterprise Management Console раскрыть узел Managed Objects, выбрать наблюдаемый объект и нажать Run.

Итоговые результаты, полученные по электронной почте

Пример уведомления в режиме реального времени

Отчеты

В NetWrix Event Log Manager доступны два типа отчетов • Итоговые отчеты по событиям • Расширение отчеты (на основе служб отчетности SQL Server)

Итоговые отчеты по событиям

Данные отчеты содержат итоговую информацию об ошибках, которые произошли с момента последнего формирования отчета. По умолчанию итоговые отчеты отправляются указанным получателям каждые 24 часаЕсли ошибок не произошло, то отчет имеет следующий вид

Если в ходе сбора данных была замечена ошибка, то следующего вида письмо отправляется сразу всем получателям:

Расширенные отчеты

Функционал NetWrix Event Log Manager позволяет создавать отчеты на основе служб отчетности SQL сервера. В программе имеется множество уже готовых шаблонов отчетов Доступ к отчетам можно получить через консоль (Managed Object — <Ваш_наблюдаемый_объект> — Event Log Manager — Reports)

Доступны следующие виды отчетов • Best Practice Reports • General Reports • Regulatory Compliance

Отчеты можно просматривать как в консоли, так и в браузере

Просмотр в консоли:

Выберите нужный отчет Managed Objects — <Ваш_наблюдаемый_объект> — Event Log Manager — Reports — <тип_отчета>

Задайте фильтры и запустите отчеты (View Report)

Просмотр отчета в браузере

В браузере введите адрес SQL Server Report Manager. Отобразится следующая страница

Выберите тот отчет, который Вам нужен и настройте, при необходимости, фильтры.

Данные также можно посмотреть через подписку

Импортирование данных аудита

NetWrix Database Importer – это инструмент, предназначенный для импортирования данных из архива аудита в базу данных SQL. Вы можете использовать его, чтобы вручную импортировать события в базу данных SQL, если Вы первоначально настроили его только на запись событий в архив аудита или для восстановления в случае повреждения базы данных SQL. Для начала необходимо уточнить период, данные за который будут импортироваться (отдельно для каждого объекта).

Просмотр данных в NetWrix Event Viewer

Необходимо задать параметры (выбрать наблюдаемый объект, компьютер, тип журнала, и период).

События записываются в .evt файл. Их можно посмотреть потом с помощью Windows Event Viewer

Создание подписки на отчет

В NetWrix Event Log Manager Вы можете настроить автоматическую отправку отчетов посредством создания подписки. Отчеты будут генерироваться автоматически и отправляться заранее определенным получателям. Чтобы создать подписку необходимо раскрыть Managed Objects — <your_managed_object> — узел Event Log Manager и выбрать Subscriptions

Нажмите Add и запуститься мастер создания подписки (Report Subscription Wizard)

Задайте имя подписки и выберите отчет, на основании которого будет формироваться подписка.

Задайте параметры подписки (формат, фильтры, сортировку)

Далее можно выбрать периодичность отправки отчетов по подписке: • Ежедневно • Еженедельно • Ежемесячно Впоследствии подписки можно изменять через консоль NetWrix Enterprise Management Console.

Также можно настроить Отчеты, нажав на кнопку Configure

Наглядно можно посмотреть все то же в презентации

Ну и, конечно, скачивайте саму программу на нашем сайте! Доступна бесплатная версия для 10 контроллеров доменов и 100 компьютеров.

habr.com

Объект WScript.Shell метод LogEvent - Журнал событий Windows

Доброго дня всем читателям блога scriptcoding.ru. В этой статье мы познакомимся с методом объекта WScript Shell – LogEvent. Данный метод позволяет заносить в журнал событий Windows информацию различного типа.

Для начала давайте кратко освежим память относительно журнала событий системы Windows.

Журнал событий Windows

Журнал событий Windows хранит информацию о любых изменениях в системе, например: успешный или неудачный вход в систему, ошибки и неполадки на диске, информация относительно работы программного и аппаратного обеспечения компьютера и так далее. Для начала стоит рассмотреть, какие основные есть типы журналов событий Windows:

• Журнал приложений – тут хранится информация, добавленная программным путем, например, при попытке получить доступ к базе данных приложение потерпело неудачу, и записало информацию про это в журнал.
• Журнал безопасности – В большинстве случаев тут записывается информация относительно успешного или неудачный входа в систему Windows, по сути, все, что связано с авторизацией и аутентификацией в Windows.
• Журнал системы – Тут хранится информация, записанная системными компонентами, например, сбой при загрузке драйвера.

Хорошо, теперь давайте посмотрим, как можно просмотреть журнал событий Windows.

В первую очередь надо открыть папку Панель управления, далее открываем каталог Администрирование и Просмотр событий, но можно и по-другому, в папке Панель управления открываем Управление компьютером, в открывшемся окне нажимаем на папку Просмотр событий. Есть и третий способ, который позволяет открыть журнал событий ОС Windows из меню Пуск/Выполнить, для этого надо запустить файл-оснастку eventvwr.msc.

В самом меню журнала событий Windows разобраться несложно, поэтому, я не буду на этом зацикливаться, поэтому давайте перейдем к основной теме данной публикации.

Метод LogEvent объекта WScript.Shell по своей природе довольно просто, мы просто указывает тип сообщения и само сообщение. Стоит помнить, что в журнале событий отображаются значки для того или иного типа события.

Общий синтаксис метода следующий:

LogEvent(intType, strMessage [ ,strTarget]) – видим, что методу передаются три параметра, плюс, он возвращает true, если событие было записано, и false в противном случае.

intType – данный параметр определяет тип сообщения, он принимает целые значения:

• 0 – Неопределенный тип, отображается значок информации (SUCCESS)
• 1 – Сообщение об ошибке (ERROR)
• 2 – Предупреждение (WARNING)
• 4 – Информация (INFORMATION)
• 8 – Аудит успехов (AUDIT_SUCCESS)
• 16 – Аудит отказов (AUDIT_FAILURE)

strMessage – собственно, сообщение, которое будет записано в журнале событий, строковой тип.

strTarget - строка, название системы, в которой протоколируется событие (по умолчанию - локальная система), может задаваться только в Windows NT/2000/XP.

Хорошо, теперь можно приступить к программированию, мы напишем два программных кода на языке vbscript и jscript. Давайте так, для начала я приведу пример кода на языке vbscript, дам пояснения, а уже потом мы рассмотрим пример на языке программирования jscript.

'***************************************** ' wscript_shell_logevent ' Запись в журнал событий Windows ' logevent1.vbs '***************************************** 'Включаем проверку переменных Option Explicit   dim WshShell   ' Формируем ссылку на объект set WshShell = WScript.CreateObject("WScript.Shell")   ' Записываем сообщения в журнал событий WshShell.LogEvent 0,"Неопределенный тип, отображается значок информации (SUCCESS)" WshShell.LogEvent 1,"Сообщение об ошибке (ERROR)" WshShell.LogEvent 2,"Предупреждение (WARNING)" WshShell.LogEvent 4,"Информация (INFORMATION)" WshShell.LogEvent 8,"Аудит успехов (AUDIT_SUCCESS)" WshShell.LogEvent 16,"Аудит отказов (AUDIT_FAILURE)"   ' Выводим сообщение об успехе MsgBox "Все прошло успешно OK!!!!!!"

Видим, прежде всего мы объявили переменную WshShell, которая будет хранить ссылку на экземпляр класса WScript.Shell, связь с объектом в языке vbscript прописывается с помощью ключевого слова set. Далее мы произвели последовательную запись информации в журнал событий Windows для каждого типа.

Стоит заметить, что я тут не проводил проверки на успех выполнения операции. Сам сценарий я запускал как под правами гостя, так и под правами администратора. Для более полной картины, стоило бы сделать проверку на ошибки. Вы конечно можете сказать: какой смысл указывать тот или иной тип события, ведь можно всегда указывать один тип? Верно, но визуально, нам проще будет, если для той или иной задачи будет определен разный тип в журнале событий ОС Windows.

Скачать архив с примерами

Так, мы можем написать сценарий для мониторинга системы с помощью инструментарий Windows. Можно следить за каталогом с файлами, и проверять следующие события: создание в нем файлов и папок, чтение или запись, общий размер каталога и так далее.

Хорошо, теперь давайте рассмотрим аналогичный пример, но уже на языке jscript:

//***************************************** // wscript_shell_logevent // Запись в журнал событий Windows // logevent1.js //*****************************************   var WshShell;   // Формируем ссылку на объект WshShell = WScript.CreateObject("WScript.Shell");   // Записываем сообщения в журнал событий WshShell.LogEvent (0,"Неопределенный тип, отображается значок информации (SUCCESS)"); WshShell.LogEvent (1,"Сообщение об ошибке (ERROR)"); WshShell.LogEvent (2,"Предупреждение (WARNING)"); WshShell.LogEvent (4,"Информация (INFORMATION)"); WshShell.LogEvent (8,"Аудит успехов (AUDIT_SUCCESS)"); WshShell.LogEvent (16,"Аудит отказов (AUDIT_FAILURE)");   // Выводим сообщение об успехе WScript.Echo ("Все прошло успешно OK!!!!!!");

Тут практически все то же, изменился только программный код, а цель осталась прежняя.

И так, мы рассмотрели работу метода LogEvent класса WScript.Shell, который позволяет довольно быстро записывать в журнал событий Windows нужные сообщения и определять тип их назначения.

scriptcoding.ru

Get-WinEvent

Получает события из журналов событий и файлов журналов отслеживания событий, находящихся на локальном компьютере и на удаленных компьютерах.

Get-WinEvent [-LogName] <string[]> [-ComputerName <string>] [-Credential <PSCredential>] [-FilterXPath <string>] [-Force <switch>] [-MaxEvents <int64>] [-Oldest] [<CommonParameters>] Get-WinEvent [-Path] <string[]> [-ComputerName <string>] [-Credential <PSCredential>] [-FilterXPath <string>] [-Force <switch>] [-MaxEvents <int64>] [-Oldest] [<CommonParameters>] Get-WinEvent [-ProviderName] <string[]> [-ComputerName <string>] [-Credential <PSCredential>] [-FilterXPath <string>] [-Force <switch>] [-MaxEvents <int64>] [-Oldest] [<CommonParameters>] Get-WinEvent -FilterHashTable <Hashtable[]> [-ComputerName <string>] [-Credential <PSCredential>] [-Force <switch>] [-MaxEvents <int64>] [-Oldest] [<CommonParameters>] Get-WinEvent [-ListLog] <string[]> [-ComputerName <string>] [-Credential <PSCredential>] [<CommonParameters>] Get-WinEvent [-ListProvider] <string[]> [-ComputerName <string>] [-Credential <PSCredential>] [<CommonParameters>] Get-WinEvent -FilterXml <XmlDocument> [-ComputerName <string>] [-Credential <PSCredential>] [-Force <switch>] [-MaxEvents <int64>] [-Oldest] [<CommonParameters>]

Командлет Get-WinEvent получает события из журналов событий, включая классические журналы событий, такие как журналы системы и приложений, и журналы событий, создаваемые с помощью новой технологии журнала событий Windows, реализованной в Windows Vista. Он также получает события из файлов журналов, созданных средством отслеживания событий для Windows (ETW).

При вызове без параметров команда Get-WinEvent получает все события из журналов событий компьютера. Чтобы прервать выполнение команды, нажмите сочетание клавиш CTRL+C.

Кроме того, командлет Get-WinEvent создает список журналов событий и поставщиков журналов событий. События можно получать из выбранных журналов или журналов, созданных определенными поставщиками событий. В одной команде можно объединять события из различных источников. Командлет Get-WinEvent позволяет фильтровать события с помощью запросов XPath, структурированных XML-запросов и упрощенных запросов хэш-таблицы.

Примечание. Командлет Get-WinEvent работает только в Windows Vista, Windows Server 2008 R2 и последующих версиях Windows. Кроме того, требуется платформа Microsoft .NET Framework 3.5 или более поздней версии.

-ComputerName <string>

Получает события из журналов событий на указанном компьютере. Введите NetBIOS-имя, IP-адрес или полное доменное имя компьютера. По умолчанию используется значение "Локальный компьютер".

Этот параметр одновременно принимает только одно имя компьютера. Чтобы найти журналы событий или события на нескольких компьютерах, воспользуйтесь инструкцией ForEach. Дополнительные сведения о данном параметре см. в примерах.

Чтобы получать журналы событий и события с удаленных компьютеров, порт брандмауэра для службы ведения журнала должен быть открыт для удаленного доступа.

Этот параметр не использует удаленное взаимодействие Windows PowerShell. Параметр ComputerName можно использовать, даже если компьютер не настроен на выполнение удаленных команд.

Обязательно?	false
Позиция?	named
Значение по умолчанию
Принимать входные данные из конвейера?	false
Принимать подстановочные знаки?	false

-Credential <PSCredential>

Задает учетную запись пользователя, который располагает разрешением для выполнения этого действия. По умолчанию используется значение "Текущий пользователь".

Введите имя пользователя, например User01 или Domain01\User01. Или укажите объект PSCredential, например один из объектов, созданных командлетом Get-Credential. При вводе имени пользователя система запросит пароль. Если указано только имя параметра, командлет запросит имя пользователя и пароль.

Обязательно?	false
Позиция?	named
Значение по умолчанию	Current user
Принимать входные данные из конвейера?	false
Принимать подстановочные знаки?	false

-FilterHashTable <Hashtable[]>

Использует запрос в формате хэш-таблицы для выбора событий из одного или нескольких журналов событий. Запрос содержит хэш-таблицу с одной или несколькими парами "ключ-значение".

К запросам в виде хэш-таблицы применяются следующие правила:

-- Ключи и значения обрабатываются без учета регистра.

-- Подстановочные знаки допускаются только в значениях, связанных с ключами LogName и ProviderName.

-- Каждый ключ может использоваться в каждой хэш-таблице только один раз.

-- Значение Path получает пути к файлам журналов ETL, EVT и EVTX.

-- Ключи LogName, Path и ProviderName можно использовать в одном запросе.

-- Ключ UserID может получать допустимый идентификатор безопасности (SID) или имя учетной записи домена, которое можно использовать для создания допустимого объекта System.Security.Principal.NTAccount.

-- Значение Data получает данные события в неименованном поле. Это поле используется для событий в классических журналах событий.

-- Ключ * представляет именованное поле данных событий.

Если командлету Get-WinEvent не удается интерпретировать пару "ключ-значение", ключ интерпретируется с учетом регистра как имя данных события в событии.

Допустимые пары "ключ-значение":

-- LogName=<String[]>

-- ProviderName=<String[]>

-- Path=<String[]>

-- Keywords=<Long[]>

-- ID=<Int32[]>

-- Level=<Int32[]>

-- StartTime=<DateTime>

-- EndTime=<DataTime>

-- UserID=<SID>

-- Data=<String[]>

-- *=<String[]>

Обязательно?	true
Позиция?	named
Значение по умолчанию
Принимать входные данные из конвейера?	true (ByValue)
Принимать подстановочные знаки?	false

-FilterXml <XmlDocument>

Использует структурированный XML-запрос для выбора событий из одного или нескольких журналов событий.

Для создания допустимого XML-запроса следует использовать функции "Создать настраиваемое представление" и "Фильтровать текущий журнал" средства просмотра событий. Используйте эти функции в диалоговом окне для создания запроса, а затем перейдите на вкладку "XML" для просмотра запроса в формате XML. XML-запрос можно скопировать с вкладки "XML" и вставить в значение параметра FilterXml. Дополнительные сведения о возможностях средства просмотра событий см. в справке средства просмотра событий.

Как правило, XML-запросы используются для создания сложных запросов, содержащих несколько инструкций XPath. Кроме того, формат XML позволяет использовать XML-элемент "Suppress", который исключает события из запроса. Дополнительные сведения о схеме XML для запросов журнала событий см. в указанных ниже разделах библиотеки MSDN (Microsoft Developer Network).

-- "Схема запроса": http://go.microsoft.com/fwlink/?LinkId=143685

-- "Запросы событий XML" в разделе "Выбор событий": http://go.microsoft.com/fwlink/?LinkID=143608

Обязательно?	true
Позиция?	named
Значение по умолчанию	нет
Принимать входные данные из конвейера?	true (ByValue)
Принимать подстановочные знаки?	false

-FilterXPath <string>

Использует запрос XPath для выбора событий из одного или нескольких журналов.

Дополнительные сведения о языке XPath см. в разделе "Фильтры выбора" раздела "Выбор событий" и в разделе "Справочник по XPath" в библиотеке MSDN.

Обязательно?	false
Позиция?	named
Значение по умолчанию	нет
Принимать входные данные из конвейера?	false
Принимать подстановочные знаки?	false

-Force <switch>

Получает журналы отладки и аналитики в дополнение к другим журналам событий. Параметр Force необходим для получения журнала отладки или аналитики, если значение параметра Name включает подстановочные знаки.

По умолчанию командлет Get-WinEvent не обрабатывает эти журналы, если не указано полное имя журнала отладки или журнала аналитики.

Обязательно?	false
Позиция?	named
Значение по умолчанию	Debugging and analytic logs are not returned in response to queries that use wildcard characters.
Принимать входные данные из конвейера?	false
Принимать подстановочные знаки?	false

-ListLog <string[]>

Получает заданные журналы событий. Введите имена журналов событий, разделенные запятыми. Подстановочные знаки разрешены. Чтобы получить все журналы, введите значение *.

Обязательно?	true
Позиция?	1
Значение по умолчанию	нет
Принимать входные данные из конвейера?	false
Принимать подстановочные знаки?	true

-ListProvider <string[]>

Получает список заданных поставщиков журналов событий. Поставщик журнала событий — это программа или служба, которая записывает события в журнал событий.

Введите имена поставщиков, разделенные запятыми. Подстановочные знаки разрешены. Чтобы получить список поставщиков всех журналов событий, имеющихся на компьютере, введите значение *.

Обязательно?	true
Позиция?	1
Значение по умолчанию	нет
Принимать входные данные из конвейера?	false
Принимать подстановочные знаки?	true

-LogName <string[]>

Получает события из заданных журналов событий. Введите имена журналов событий, разделенные запятыми. Подстановочные знаки разрешены. Кроме того, можно передать имена журналов в Get-WinEvent с помощью конвейера.

Обязательно?	true
Позиция?	1
Значение по умолчанию	нет
Принимать входные данные из конвейера?	true (ByValue)
Принимать подстановочные знаки?	true

-MaxEvents <int64>

Задает максимальное число событий, возвращаемых Get-WinEvent. Введите целое число. По умолчанию возвращаются все события во всех журналах и файлах.

Обязательно?	false
Позиция?	named
Значение по умолчанию	All events
Принимать входные данные из конвейера?	false
Принимать подстановочные знаки?	false

-Oldest

Возвращает события в порядке от старых к новым. По умолчанию события возвращаются в порядке от новых к старым.

Это параметр необходим для получения событий из ELT- и EVT-файлов, а также из журналов отладки и аналитики. В этих файлах события регистрируются в порядке от старых к новым и могут быть возвращены только в этом порядке.

Обязательно?	false
Позиция?	named
Значение по умолчанию
Принимать входные данные из конвейера?	false
Принимать подстановочные знаки?	false

-Path <string[]>

Получает события из заданных файлов журналов событий. Введите пути к файлам журналов, разделенные запятыми, или используйте подстановочные знаки для ввода шаблонов путей файлов.

Командлет Get-WinEvent поддерживает файлы с расширениями EVT, EVTX и ETL. В одной команде можно объединять события из различных файлов и типов файлов.

Обязательно?	true
Позиция?	1
Значение по умолчанию	нет
Принимать входные данные из конвейера?	false
Принимать подстановочные знаки?	true

-ProviderName <string[]>

Возвращает события, записанные указанными поставщиками журналов событий. Введите имена поставщиков, разделенные запятыми, или используйте подстановочные знаки для ввода шаблонов имен поставщиков.

Поставщик журнала событий — это программа или служба, которая записывает события в журнал событий. Такой поставщик не является поставщиком Windows PowerShell.

Обязательно?	true
Позиция?	1
Значение по умолчанию	нет
Принимать входные данные из конвейера?	false
Принимать подстановочные знаки?	true

<CommonParameters>

Данный командлет поддерживает общие параметры -Verbose, -Debug, -ErrorAction, -ErrorVariable, -OutBuffer и -OutVariable. Дополнительные сведения см. в разделе about_Commonparameters.

winintro.ru

---

Смотрите также

• 
  Качели журнал для детей
• 
  Карин ройтфельд журнал cr
• 
  Как хранить много журналов
• 
  Как стереть журнал обновлений
• 
  Исповедь стукача журнал огонек
• 
  Искусство потребления премиум журнал
• 
  Интернет журнал монтессори пресс
• 
  Зво журнал официальный сайт
• Записки минералогического общества журнал
• 
  Журналы ордера какие бывают
• 
  Журналы монстер хай онлайн