Get-EventLog

Get-EventLog [-AsString] [-ComputerName <string[]>] [-List] [<CommonParameters>]

Get-EventLog [-LogName] <string> [[-InstanceId] <Int64[]>] [-After <DateTime>] [-AsBaseObject] [-Before <DateTime>] [-ComputerName <string[]>] [-EntryType <string[]>] [-Index <Int32[]>] [-Message <string>] [-Newest <int>] [-Source <string[]>] [-UserName <string[]>] [<CommonParameters>]

C:\PS>get-eventlog -list

说明
-----------
此命令显示有关计算机上的事件日志的信息。

C:\PS>get-eventlog -newest 5 -logname application

说明
-----------
此命令显示 Application 事件日志中的五个最新条目。

C:\PS>$events = get-eventlog -logname system -newest 1000

C:\PS> $events | group-object -property source -noelement | sort-object -property count -descending

Count Name
----- ----
   75 Service Control Manager
   12 Print
    6 UmrdpService
    2 DnsApi
    2 DCOM
    1 Dhcp
    1 TermDD
    1 volsnap

说明
-----------
此示例演示如何查找系统事件日志中的 1000 个最新条目中表示的所有源。

第一个命令从系统事件日志中获取 1000 个最新条目，并将这些条目存储在 $events 变量中。

第二个命令使用管道运算符 (|) 将 $events 中的事件发送给 Group-Object cmdlet，后者按 Source 属性的值对条目进行分组。该命令使用第二个管道运算符将经过分组的事件发送给 Sort-Object cmdlet，后者对其进行降序排序，因此出现频率最高的源将列在最前面。

Source 就是事件日志条目的属性。要查看事件日志条目的所有属性，请将事件通过管道传送给 Get-Member cmdlet。

C:\PS>get-eventlog -logname System -EntryType Error

说明
-----------
此命令只获取系统事件日志中的错误事件。

C:\PS>get-eventlog -logname System -instanceID 3221235481 -Source "DCOM"

说明
-----------
此命令从系统日志中获取 InstanceID 为 3221235481 且 Source 值为“DCOM”的事件。

C:\PS>get-eventlog -logname "Windows PowerShell" -computername localhost, Server01, Server02

说明
-----------
此命令从三台计算机上的“Windows PowerShell”事件日志中获取事件，这三台计算机分别是 Server01、Server02 和本地计算机（称为“localhost”）。

C:\PS>get-eventlog -logname "Windows PowerShell" -message "*failed*"

说明
-----------
此命令获取 Windows PowerShell 事件日志中消息值包括单词“failed”的所有事件。

C:\PS>$a = get-eventlog -log System -newest 1

C:\PS> $a | format-list -property *

EventID            : 7036
MachineName        : Server01
Data               : {}
Index              : 10238
Category           : (0)
CategoryNumber     : 0
EntryType          : Information
Message            : The description for Event ID
Source             : Service Control Manager
ReplacementStrings : {WinHTTP Web Proxy Auto-Disco
InstanceId         : 1073748860
TimeGenerated      : 4/11/2008 9:56:05 PM
TimeWritten        : 4/11/2008 9:56:05 PM
UserName           :
Site               :
Container          :

说明
-----------
此示例演示如何显示事件的所有属性值。

第一个命令获取系统事件日志中的最新事件并将其保存在 $a 变量中。

第二个命令使用管道运算符 (|) 将 $a 中的事件发送给 Format-List 命令，后者将显示所有 (*) 事件属性。

C:\PS>get-eventlog -log application -source outlook | where {$_.eventID -eq 34}

说明
-----------
此命令获取应用程序事件日志中源为 Outlook 且事件 ID 为 34 的事件。即使 Get-EventLog 没有 EventID 参数，也可以使用 Where-Object cmdlet 来根据任何事件属性的值选择事件。

C:\PS>get-eventlog -log system -username NT* | group-object -property username -noelement | format-table Count, Name -auto

Count Name
----- ----
 6031 NT AUTHORITY\SYSTEM
   42 NT AUTHORITY\LOCAL SERVICE
    4 NT AUTHORITY\NETWORK SERVICE

说明
-----------
此命令返回系统日志中按其 UserName 属性值分组的事件。Get-EventLog 命令使用 UserName 参数来只获取用户名以“NT*”开头的事件。

C:\PS>$May31 = get-date 5/31/08

C:\PS> $July1 = get-date 7/01/08

C:\PS> get-eventlog -log "Windows PowerShell" -entrytype Error -after $may31 -before $july1

说明
-----------
此命令获取 Windows Powershell 事件日志中 2008 年 6 月发生的所有错误。