TEMA about_EventLogs DESCRIPCIÓN BREVE Windows PowerShell crea un registro de eventos de Windows que se denomina "Windows PowerShell" para registrar los eventos de Windows PowerShell. Puede ver este registro en el Visor de eventos o mediante cmdlets que obtienen los eventos, como el cmdlet Get-EventLog. De forma predeterminada, el motor de Windows PowerShell y los eventos de proveedor se registran en el registro de eventos, pero también se pueden utilizar las variables de preferencias del registro de eventos para personalizar el registro de eventos. Por ejemplo, se pueden agregar eventos sobre los comandos de Windows PowerShell. DESCRIPCIÓN DETALLADA El registro de eventos de Windows PowerShell registra detalles de operaciones de Windows PowerShell, como iniciar y detener el motor del programa o iniciar y detener los proveedores de Windows PowerShell. También pueden registrarse detalles sobre los comandos de Windows PowerShell. En Windows Vista y en las versiones posteriores, el registro de eventos de Windows PowerShell se encuentra en el grupo de registros de aplicaciones y servicios. El registro de Windows PowerShell es un registro de eventos clásico que no utiliza la tecnología de generación de eventos de Windows. Para ver el registro, se utilizan los cmdlets diseñados para los registros de eventos clásicos, como Get-EventLog. Ver el registro de eventos de Windows PowerShell El registro de eventos de Windows PowerShell se puede ver en el Visor de eventos o mediante los cmdlets Get-EventLog y Get-WmiObject. Para ver el contenido del registro de Windows PowerShell, escriba: get-eventlog -logname "Windows PowerShell" Para examinar los eventos y sus propiedades, se utilizan los cmdlets Sort-Object, Group-Object y otros que contienen el verbo Format (cmdlets Format). Por ejemplo, para ver los eventos del registro agrupados según el identificador de evento, escriba: get-eventlog "Windows PowerShell" | format-table -groupby eventid O bien: get-eventlog "Windows PowerShell" | sort-object eventid ` | group-object eventid Para ver todos los registros de eventos clásicos, escriba: get-eventlog -list También se puede utilizar el cmdlet Get-WmiObject para utilizar las clases de Windows Management Instumentation (WMI) relacionadas con los eventos para examinar el registro de eventos. Por ejemplo, para ver todas las propiedades del archivo del registro de eventos, escriba: get-wmiobject win32_nteventlogfile | where ` {$_.logfilename -eq "Windows PowerShell"} | format-list -property * Para buscar las clases de WMI relacionadas con eventos de Win32, escriba: get-wmiobject -list | where {$_.name -like "win32*event*"} Para obtener más información, escriba "get-help get-eventlog" y "get-help get-wmiobject". Seleccionar eventos para el registro de eventos de Windows PowerShell Las variables de preferencias del registro de eventos se pueden utilizar para determinar qué eventos se registrarán en el registro de eventos de Windows PowerShell. Hay seis variables de preferencias del registro de eventos; dos para cada uno de los tres componentes de registro: el motor (el programa Windows PowerShell), los proveedores y los comandos. Las variables LifeCycleEvent registran los eventos de inicio y detención normales. Las variables Health registran los eventos de error. En la tabla siguiente se muestra una lista de las variables de preferencias del registro de eventos. Variable Descripción -------------------------- ---------------------------------------- $LogEngineLifeCycleEvent Registra los inicios y las detenciones de Windows PowerShell. $LogEngineHealthEvent Registra los errores del programa Windows PowerShell. $LogProviderLifeCycleEvent Registra los inicios y las detenciones de los proveedores de Windows PowerShell. $LogProviderHealthEvent Registra los errores de los proveedores de Windows PowerShell. $LogCommandLifeCycleEvent Registra los inicios y finalizaciones de los comandos. $LogCommandHealthEvent Registra los errores de los comandos. (Para obtener información acerca de los proveedores de Windows PowerShell, escriba: "get-help about_providers".) De forma predeterminada, solamente están habilitados los tipos de eventos siguientes: $LogEngineLifeCycleEvent $LogEngineHealthEvent $LogProviderLifeCycleEvent $LogProviderHealthEvent Para habilitar un tipo de evento, se establece la variable de preferencias correspondiente a ese evento en $true. Por ejemplo, para habilitar los eventos de ciclo de vida de los comandos, escriba: $LogCommandLifeCycleEvent O bien: $LogCommandLifeCycleEvent = $true Para deshabilitar un tipo de evento, se establece la variable de preferencias correspondiente a ese evento en $false. Por ejemplo, para deshabilitar los eventos de ciclo de vida de los comandos, escriba: $LogProviderLifeCycleEvent = $false La configuración de las variables se aplica solamente a la sesión actual de Windows PowerShell. Para aplicársela a todas las sesiones de Windows PowerShell, hay que agregarla al perfil de Windows PowerShell. Seguridad y auditoría El registro de eventos de Windows PowerShell está diseñado para indicar la actividad y proporcionar detalles operativos que permitan solucionar problemas. Sin embargo, como la mayoría de los registros de eventos de las aplicaciones basadas en Windows, el registro de eventos de Windows PowerShell no está diseñado para ser seguro. No se debe utilizar para auditar la seguridad ni registrar información confidencial o de propiedad. Los registros de eventos están diseñados para que los usuarios los lean y entiendan. Los usuarios pueden leer el registro y escribir en él. Un usuario malintencionado podría leer un registro de eventos en un equipo local o remoto, registrar datos falsos y, a continuación, impedir el registro de sus actividades. VEA TAMBIÉN Get-EventLog Get-WmiObject about_Preference_Variables