2012年3月28日 星期三

S小魚仔S PowerShell 查詢 EventLog

因為工作上關係,學習到「Hyper-V Server 2008 R2 SP1」其實「Hyper-V Server 2008 R2 SP1」也就是沒有「背景 (GUI)」的「系統」,透過「指令」來「操作」,原本是想要利用「cmd」來做一些簡單「處理」,後來發現有支援「PowerShell」老實說,我根本不懂那是什麼東西,只知道非常類似「命令提示字元」的「工具」,可以使用「指令」來「達成」我要的「工作內容」,後來透過「Google」不斷「爬文」,終於「找到」我要的「文章」,利用「PowerShell 查詢 電腦 EventLog」,那麼就讓我們來「實作」「 PowerShell 」。


Get-EventLog -list         
PS. 列出「Event Log」各大項目
  
Get-EventLog security   
PS. 列出「 安全性 」的「Event Log


Get-EventLog security | more
PS. 列出 「 安全性 」 的 「Event Log」並 「分段顯示 


security  -newest 30  | more
  PS. 列出 「 安全性 」 的前「30」項,「Event Log」並 「分段顯示」 


$date = (get-date).adddays(-1)
PS. 獲取當天24小時內的「EventLog」,續接「下一段指令


get-eventlog security | where {$_.timewritten -gt $date} | out-file c:\security.txt
PS. 將「24」小時中所有的 「安全性」 保存到「C:\security.txt」文件中


get-eventlog -logname application -InstanceID 1000  
PS. 列出「應用程式」Event ID 為「1000


get-eventlog -logname Security -InstanceID 4672 -newest 30
PS. 列出 前「30」筆「安全性」Event ID 為 「4672 」


get-eventlog -logname Security -InstanceID 4672 | out-file c:\security.txt
PS. 列出「安全性」Event ID 為 「4672 」並「儲存」到「C:\security.txt


參考資料:
「IT 專家網」-「利用 PowerShell 提升 事件日志 管理效率
「Mircosoft Technet」-「Get-EventLog