ARGOMENTO
about_EventLogs
DESCRIZIONE BREVE
Windows PowerShell crea un registro eventi di Windows denominato
"Windows PowerShell" per registrare gli eventi di Windows
PowerShell. È possibile visualizzare questo registro in Visualizzatore
eventi o tramite cmdlet che ottengono eventi, ad esempio il cmdlet
Get-EventLog. Per impostazione predefinita, gli eventi del provider e
del modulo di Windows PowerShell vengono registrati nel registro eventi,
tuttavia è possibile utilizzare le variabili di preferenza del
registro eventi per personalizzare il registro eventi. Ad esempio, è
possibile aggiungere eventi relativi ai comandi di Windows PowerShell.
DESCRIZIONE DETTAGLIATA
Il registro eventi di Windows PowerShell registra i dettagli
relativi alle operazioni di Windows PowerShell, ad esempio l'avvio e
l'arresto del modulo del programma e dei provider di Windows PowerShell.
È inoltre possibile registrare i dettagli relativi ai comandi di Windows
PowerShell.
In Windows Vista e versioni successive, il registro eventi di Windows
PowerShell è nel gruppo Registri dei servizi e applicazione. Il
registro di Windows PowerShell è un registro eventi classico che non
utilizza la tecnologia Windows Eventing. Per visualizzare il registro,
utilizzare i cmdlet progettati per i registri eventi classici, ad
esempio Get-EventLog.
Visualizzazione del registro eventi di Windows PowerShell
È possibile visualizzare il registro eventi di Windows PowerShell in
Visualizzatore eventi o tramite i cmdlet Get-EventLog e Get-WmiObject.
Per visualizzare i contenuti del registro di Windows PowerShell, digitare:
get-eventlog -logname "Windows PowerShell"
Per esaminare gli eventi e le relative proprietà, utilizzare il
cmdlet Sort-Object, il cmdlet Group-Object e quelli che
contengono il verbo Format (cmdlet Format).
Per visualizzare, ad esempio, gli eventi del registro
raggruppate in base all'ID evento, digitare:
get-eventlog "Windows PowerShell" | format-table -groupby eventid
Oppure:
get-eventlog "Windows PowerShell" | sort-object eventid `
| group-object eventid
Per visualizzare tutti i registri eventi classici, digitare:
get-eventlog -list
È inoltre possibile utilizzare il cmdlet Get-WmiObject per
utilizzare le classi di Strumentazione gestione Windows (WMI)
relative all'evento per esaminare il registro eventi.
Ad esempio, per visualizzare tutte le proprietà del file del
registro eventi, digitare:
get-wmiobject win32_nteventlogfile | where `
{$_.logfilename -eq "Windows PowerShell"} | format-list -property *
Per trovare le classi WMI relative all'evento Win32, digitare:
get-wmiobject -list | where {$_.name -like "win32*event*"}
Per ulteriori informazioni, digitare "get-help get-eventlog" e
"get-help get-wmiobject".
Selezione di eventi per il registro eventi di Windows PowerShell
È possibile utilizzare le variabili di preferenza del registro
eventi per determinare gli eventi che vengono registrati nel
registro eventi di Windows PowerShell.
Esistono sei variabili di preferenza del registro eventi; due
variabili per ciascuno dei tre componenti di registrazione: il
modulo (il programma di Windows PowerShell), i provider e i
comandi. Le variabili LifeCycleEvent registrano gli eventi di
avvio e di arresto normali. Le variabili Health registrano gli
eventi di errore.
Nella tabella seguente viene fornito un elenco delle variabili di
preferenza del registro eventi.
Variable Descrizione
-------------------------- ----------------------------------------
$LogEngineLifeCycleEvent Registra l'avvio e l'arresto di Windows
PowerShell.
$LogEngineHealthEvent Registra gli errori del programma
di Windows PowerShell.
$LogProviderLifeCycleEvent Registra l'avvio e l'arresto dei
provider di Windows PowerShell.
$LogProviderHealthEvent Registra gli errori dei provider di Windows
PowerShell.
$LogCommandLifeCycleEvent Registra l'avvio e il completamento dei
comandi.
$LogCommandHealthEvent Registra gli errori dei comandi.
(Per informazioni sui provider di Windows PowerShell,
digitare: "get-help about_providers").
Per impostazione predefinita, vengono abilitati solo i tipi di
evento seguenti:
$LogEngineLifeCycleEvent
$LogEngineHealthEvent
$LogProviderLifeCycleEvent
$LogProviderHealthEvent
Per abilitare un tipo di evento, impostare la variabile di
preferenza per tale tipo di evento su $true. Per abilitare, ad
esempio, eventi del ciclo di vita del comando, digitare:
$LogCommandLifeCycleEvent
Oppure:
$LogCommandLifeCycleEvent = $true
Per disabilitare un tipo di evento, impostare la variabile di
preferenza per tale tipo di evento su $false. Per disabilitare,
ad esempio, eventi del ciclo di vita del comando, digitare:
$LogProviderLifeCycleEvent = $false
Le impostazioni di variabile sono valide solo per la sessione
di Windows PowerShell corrente. Per applicarle a tutte le
sessioni di Windows PowerShell, aggiungerle al profilo di Windows
PowerShell.
Sicurezza e controllo
Il registro eventi di Windows PowerShell viene progettato per
indicare l'attività e fornire dettagli operativi utili alla
risoluzione dei problemi.
Tuttavia, come la maggior parte dei registri eventi delle
applicazioni basate su Windows, il registro eventi di Windows
PowerShell non è progettato per essere protetto. Non deve essere
utilizzato per controllare la sicurezza o registrare informazioni
riservate o di proprietà riservata.
I registri eventi sono progettati per essere letti e compresi
dagli utenti. Gli utenti possono leggere dal registro e
scrivere in esso. Un utente malintenzionato potrebbe leggere un
registro eventi in un computer locale o remoto, registrare dati
falsi e impedire quindi la registrazione delle attività.
VEDERE ANCHE
Get-EventLog
Get-WmiObject
about_Preference_Variables