NOM
Get-WinEvent
RÉSUMÉ
Obtient des événements à partir des journaux des événements et des fichiers journaux de suivi d'événements présents sur les ordinateurs locaux et distants.
SYNTAXE
Get-WinEvent [-LogName] <string[]> [-ComputerName <string>] [-Credential <PSCredential>] [-FilterXPath <string>] [-Force <switch>] [-MaxEvents <int64>] [-Oldest] [<CommonParameters>]
Get-WinEvent [-Path] <string[]> [-ComputerName <string>] [-Credential <PSCredential>] [-FilterXPath <string>] [-Force <switch>] [-MaxEvents <int64>] [-Oldest] [<CommonParameters>]
Get-WinEvent [-ProviderName] <string[]> [-ComputerName <string>] [-Credential <PSCredential>] [-FilterXPath <string>] [-Force <switch>] [-MaxEvents <int64>] [-Oldest] [<CommonParameters>]
Get-WinEvent -FilterHashTable <Hashtable[]> [-ComputerName <string>] [-Credential <PSCredential>] [-Force <switch>] [-MaxEvents <int64>] [-Oldest] [<CommonParameters>]
Get-WinEvent [-ListLog] <string[]> [-ComputerName <string>] [-Credential <PSCredential>] [<CommonParameters>]
Get-WinEvent [-ListProvider] <string[]> [-ComputerName <string>] [-Credential <PSCredential>] [<CommonParameters>]
Get-WinEvent -FilterXml <XmlDocument> [-ComputerName <string>] [-Credential <PSCredential>] [-Force <switch>] [-Max Events <int64>] [-Oldest] [<CommonParameters>]
DESCRIPTION
L'applet de commande Get-WinEvent obtient des événements en provenance des journaux des événements, notamment des journaux classiques tels que le journal système et le journal d'applications, et des journaux des événements générés par la nouvelle technologie de journal d'événements Windows introduite dans Windows Vista. Elle obtient également les événements figurant dans les fichiers journaux générés par Suivi d'événements pour Windows (ETW).
Sans paramètre, une commande Get-WinEvent obtient tous les événements de tous les journaux des événements de l'ordinateur. Pour interrompre la commande, appuyez sur CTRL+C.
Get-WinEvent répertorie également les journaux des événements et les fournisseurs de journaux des événements. Vous pouvez obtenir des événements à partir de certains journaux ou de journaux générés par certains fournisseurs d'événements. De même, vous pouvez combiner des événements provenant de plusieurs sources dans une seule commande. Get-WinEvent vous permet de filtrer les événements à l'aide de requêtes XPath, de requêtes XML structurées et de requêtes
de table de hachage simplifiées.
Remarque : Get-WinEvent requiert Windows Vista, Windows Server 2008 R2 ou des versions ultérieures de Windows. De plus, elle requiert Microsoft .NET Framework 3.5 ou une version ultérieure.
PARAMÈTRES
-ComputerName <string>
Obtient des événements en provenance des journaux des événements sur l'ordinateur spécifié. Tapez le nom NetBIOS, une adresse IP ou le nom de domaine complet de l'ordinateur. La valeur par défaut est l'ordinateur local.
Ce paramètre accepte un seul nom d'ordinateur à la fois. Pour rechercher des journaux des événements ou des événements sur plusieurs ordinateurs, utilisez une instruction ForEach. Pour plus d'informations sur ce paramètre, consultez les exemples.
Pour obtenir des événements et des journaux des événements à partir d'ordinateurs distants, le port de pare-feu utilisé pour le service Journal des événements doit être configuré de façon à autoriser l'accès distant.
Ce paramètre ne s'appuie pas sur la communication à distance Windows PowerShell. Vous pouvez utiliser le paramètre ComputerName même si votre ordinateur n'est pas configuré pour exécuter des commandes distantes.
Obligatoire ? false
Position ? named
Valeur par défaut
Accepter l'entrée de pipeline ? false
Accepter les caractères génériques ? false
-Credential <PSCredential>
Spécifie un compte d'utilisateur qui a l'autorisation d'exécuter cette action. La valeur par défaut est l'utilisateur actuel.
Tapez un nom d'utilisateur, tel qu'Utilisateur01 ou Domaine01\Utilisateur01. Vous pouvez également entrer un objet PSCredential, tel que celui généré par l'applet de commande Get-Credential. Si vous tapez un nom d'utilisateur, vous êtes invité à entrer un mot de passe. Si vous tapez uniquement le nom du paramètre, vous serez invité à entrer un nom d'utilisateur et un mot de passe.
Obligatoire ? false
Position ? named
Valeur par défaut Utilisateur actuel
Accepter l'entrée de pipeline ? false
Accepter les caractères génériques ? false
-FilterHashTable <Hashtable[]>
Utilise une requête dans le format de table de hachage pour sélectionner des événements d'un ou plusieurs journaux des événements. La requête contient une table de hachage avec une ou plusieurs paires clé-valeur.
Les requêtes de table de hachage présentent les règles suivantes :
-- Les clés et les valeurs ne respectent pas la casse.
-- Les caractères génériques sont uniquement valides dans les valeurs associées aux clés LogName et ProviderName.
-- Chaque clé peut être répertoriée une seule fois dans chaque table de hachage.
-- La valeur Path accepte des chemins d'accès aux fichiers journaux .etl, .evt et .evtx.
-- Les clés LogName, Path et ProviderName peuvent être utilisées dans la même requête.
-- La clé UserID peut accepter un identificateur de sécurité valide (SID) ou un nom de compte de domaine qui peut être utilisé pour construire un objet System.Security.Principal.NTAccount valide.
-- La valeur Data accepte des données d'événement dans un champ sans nom. Cela est utilisé pour les événements dans les journaux d'événements classiques.
-- La clé * représente un champ de données d'événement nommé.
Lorsque Get-WinEvent ne peut pas interpréter une paire clé-valeur, l'applet interprète la clé comme un nom respectant la casse pour les données d'événement dans l'événement.
Paires clé-valeur valides :
-- LogName=<String[]>
-- ProviderName=<String[]>
-- Path=<String[]>
-- Keywords=<Long[]>
-- ID=<Int32[]>
-- Level=<Int32[]>
-- StartTime=<DateHeure>
-- EndTime=<DateHeure>
-- UserID=<SID>
-- Data=<String[]>
-- *=<String[]>
Obligatoire ? true
Position ? named
Valeur par défaut
Accepter l'entrée de pipeline ? true (ByValue)
Accepter les caractères génériques ? false
-FilterXml <XmlDocument>
Utilise une requête XML structurée pour sélectionner des événements d'un ou plusieurs journaux des événements.
Pour générer une requête XML valide, utilisez les fonctionnalités « Créer une vue personnalisée » et « Filtrer le journal actuel » dans l'Observateur d'événements. Utilisez les éléments de la boîte de dialogue pour créer une requête, puis cliquez sur l'onglet XML pour afficher la requête au format XML. Vous pouvez copier le XML à partir de l'onglet XML dans la valeur du paramètre FilterXml. Pour plus d'informations sur les fonctionnalités de l'Observateur d'événements, consultez l'Aide de l'Observateur d'événements.
En général, vous utilisez une requête XML pour créer une requête complexe contenant plusieurs instructions XPath. Le format XML vous permet également d'utiliser un élément XML « Suppress » pour exclure des événements de la requête. Pour plus d'informations sur le schéma XML pour les requêtes de journal des événements, consultez les rubriques suivantes de la bibliothèque MSDN (Microsoft Developer Network).
-- « Query Schema » (page éventuellement en anglais) : http://go.microsoft.com/fwlink/?LinkId=143685
-- « XML Event Queries » dans « Event Selection » (page éventuellement en anglais) : http://go.microsoft.com/fwlink/?LinkID=143608
Obligatoire ? true
Position ? named
Valeur par défaut Aucun
Accepter l'entrée de pipeline ? true (ByValue)
Accepter les caractères génériques ? false
-FilterXPath <string>
Utilise une requête XPath pour sélectionner des événements d'un ou plusieurs journaux.
Pour plus d'informations sur le langage XPath, consultez « Selection Filters » dans « Event Selection » (en anglais) et « Référence XPath » dans la bibliothèque MSDN.
Obligatoire ? false
Position ? named
Valeur par défaut Aucun
Accepter l'entrée de pipeline ? false
Accepter les caractères génériques ? false
-Force <switch>
Obtient des journaux de débogage et d'analyse, en plus d'autres journaux des événements. Le paramètre Force est obligatoire pour obtenir un journal de débogage ou d'analyse quand la valeur du paramètre de nom inclut des caractères génériques.
Par défaut, Get-WinEvent exclut ces journaux, à moins que vous ne spécifiiez le nom complet d'un journal de débogage ou d'analyse.
Obligatoire ? false
Position ? named
Valeur par défaut Les journaux de débogage et d'analyse ne sont pas retournés en réponse aux requêtes qui utilisent des caractères génériques.
Accepter l'entrée de pipeline ? false
Accepter les caractères génériques ? false
-ListLog <string[]>
Obtient les journaux des événements spécifiés. Entrez le nom des journaux des événements dans une liste séparée par des virgules. Les caractères génériques sont autorisés. Pour obtenir tous les journaux, entrez une valeur
*.
Obligatoire ? true
Position ? 1
Valeur par défaut Aucun
Accepter l'entrée de pipeline ? false
Accepter les caractères génériques ? true
-ListProvider <string[]>
Obtient les fournisseurs de journaux des événements spécifiés. Un fournisseur de journal des événements est un programme ou un service qui écrit des événements dans un journal des événements.
Entrez le nom des fournisseurs dans une liste séparée par des virgules. Les caractères génériques sont autorisés. Pour obtenir les fournisseurs de tous les journaux des événements sur l'ordinateur, entrez une valeur *.
Obligatoire ? true
Position ? 1
Valeur par défaut Aucun
Accepter l'entrée de pipeline ? false
Accepter les caractères génériques ? true
-LogName <string[]>
Obtient des événements en provenance des journaux d'événements spécifiés. Entrez le nom des journaux des événements dans une liste séparée par des virgules. Les caractères génériques sont autorisés. Vous pouvez également diriger les noms de journaux vers Get-WinEvent.
Obligatoire ? true
Position ? 1
Valeur par défaut Aucun
Accepter l'entrée de pipeline ? true (ByValue)
Accepter les caractères génériques ? true
-MaxEvents <int64>
Spécifie le nombre maximal d'événements retournés par Get-WinEvent. Entrez un entier. Le comportement par défaut consiste à retourner tous les événements des journaux ou fichiers.
Obligatoire ? false
Position ? named
Valeur par défaut Tous les événements
Accepter l'entrée de pipeline ? false
Accepter les caractères génériques ? false
-Oldest [<SwitchParameter>]
Retourne les événements dans l'ordre du plus ancien au plus récent. Par défaut, les événements sont retournés dans l'ordre du plus récent au plus ancien.
Ce paramètre est obligatoire pour obtenir des événements à partir de fichiers .etl et .evt, ainsi qu'à partir de journaux de débogage et d'analyse. Dans ces fichiers, les événements sont enregistrés dans l'ordre du plus ancien au plus récent et peuvent uniquement être retournés dans cet ordre.
Obligatoire ? false
Position ? named
Valeur par défaut
Accepter l'entrée de pipeline ? false
Accepter les caractères génériques ? false
-Path <string[]>
Obtient des événements en provenance des fichiers journaux d'événements spécifiés. Entrez les chemins d'accès aux fichiers journaux dans une liste séparée par des virgules ou utilisez des caractères génériques pour créer des modèles de chemin d'accès de fichier.
Get-WinEvent prend en charge les fichiers dotés des extensions .evt, .evtx ou .etl. Vous pouvez inclure des événements de fichiers et types de fichiers différents dans la même commande.
Obligatoire ? true
Position ? 1
Valeur par défaut Aucun
Accepter l'entrée de pipeline ? false
Accepter les caractères génériques ? true
-ProviderName <string[]>
Obtient les événements écrits par les fournisseurs de journaux des événements spécifiés. Entrez le nom des fournisseurs dans une liste séparée par des virgules ou utilisez des caractères génériques pour créer des modèles de noms de fournisseurs.
Un fournisseur de journal des événements est un programme ou un service qui écrit des événements dans un journal des événements. Ce n'est pas un fournisseur Windows PowerShell.
Obligatoire ? true
Position ? 1
Valeur par défaut Aucun
Accepter l'entrée de pipeline ? false
Accepter les caractères génériques ? true
<CommonParameters>
Cette applet de commande prend en charge les paramètres courants : Verbose, Debug,
ErrorAction, ErrorVariable, WarningAction, WarningVariable,
OutBuffer et OutVariable. Pour plus d'informations, tapez
« get-help about_commonparameters ».
ENTRÉES
System.String, System.Xml.XmlDocument, System.Collections.Hashtable.
Vous pouvez diriger LogName (chaîne), une requête FilterXML ou une requête FilterHashTable vers Get-WinEvent.
SORTIES
System.Diagnostics.Eventing.Reader.EventLogConfiguration, System.Diagnostics.Eventing.Reader.EventLogRecord, System .Diagnostics.Eventing.Reader.ProviderMetadata
Avec le paramètre ListLog, Get-WinEvent retourne des objets System.Diagnostics.Eventing.Reader.EventLogConfiguration. Avec le paramètre ListProvider, Get-WinEvent retourne des objets System.Diagnostics.Eventing.Reader.ProviderMetadata. Avec tous les autres paramètres, Get-WinEvent retourne des objets System.Diagnostics.Eventing.Reader.EventLogRecord.
NOTES
Get-WinEvent a été conçu pour remplacer l'applet de commande Get-EventLog sur les ordinateurs exécutant Windows Vista et des versions ultérieures de Windows. Get-EventLog obtient des événements uniquement en provenance des journaux d'événements classiques. L'applet de commande Get-EventLog est conservée dans Windows PowerShell 2.0 pour les systèmes antérieurs à Windows Vista.
-------------------------- EXEMPLE 1 --------------------------
C:\PS>get-winevent -listlog *
Description
-----------
Cette commande obtient tous les journaux présents sur l'ordinateur local.
Les journaux sont répertoriés dans l'ordre où Get-WinEvent les obtient. Les journaux classiques sont habituellement récupérés en premier, suivis des nouveaux journaux de Windows Eventing.
Comme il existe en général plus de cent journaux des événements, ce paramètre requiert un nom de journal ou un modèle de nom. Pour obtenir tous les journaux, utilisez *.
-------------------------- EXEMPLE 2 --------------------------
C:\PS>get-winevent -listlog Setup | format-list -property *
FileSize : 69632
IsLogFull : False
LastAccessTime : 2/14/2008 12:55:12 AM
LastWriteTime : 7/9/2008 3:12:05 AM
OldestRecordNumber : 1
RecordCount : 3
LogName : Setup
LogType : Operational
LogIsolation : Application
IsEnabled : True
IsClassicLog : False
SecurityDescriptor : O:BAG:SYD:(A;;0xf0007;;;SY)(A;
(A;;0x1;;;S-1-5-32-573)
LogFilePath : %SystemRoot%\System32\Winevt\L
MaximumSizeInBytes : 1052672
LogMode : Circular
OwningProviderName : Microsoft-Windows-Eventlog
ProviderNames : {Microsoft-Windows-WUSA, Micro
ProviderLevel :
ProviderKeywords :
ProviderBufferSize : 64
ProviderMinimumNumberOfBuffers : 0
ProviderMaximumNumberOfBuffers : 64
ProviderLatency : 1000
ProviderControlGuid :
Description
-----------
Ces commandes obtiennent un objet qui représente le journal système classique sur l'ordinateur local. L'objet inclut des informations utiles sur le journal, dont notamment la taille, le fournisseur du journal des événements, le chemin d'accès au fichier et s'il est activé ou non.
-------------------------- EXEMPLE 3 --------------------------
C:\PS>get-winevent -listlog * -computername Server01| where {$_.recordcount}
Description
-----------
Cette commande obtient uniquement les journaux des événements présents sur l'ordinateur Server01 qui contiennent des événements. De nombreux journaux peuvent être vides.
La commande utilise la propriété RecordCount de l'objet EventLogConfiguration que Get-WinEvent retourne lorsque vous utilisez le paramètre ListLog.
-------------------------- EXEMPLE 4 --------------------------
C:\PS>$s = "Server01", "Server02", "Server03"
C:\PS> foreach ($server in $s)
{$server; get-winevent -listlog "Windows PowerShell" -computername $server}
Description
-----------
Les commandes présentées dans cet exemple obtiennent les objets représentant les journaux des événements Windows Po
werShell sur les ordinateurs Server01, Server02 et Server03. Cette commande utilise le mot clé Foreach parce que le paramètre ComputerName accepte une seule valeur.
La première commande enregistre les noms des ordinateurs dans la variable $s.
La deuxième commande utilise une instruction Foreach. Pour chacun des ordinateurs indiqués dans la variable $s, elle exécute la commande dans le bloc de script (dans les accolades). En premier lieu, la commande imprime le nom de l'ordinateur. Ensuite, elle exécute une commande Get-WinEvent pour obtenir un objet qui représente le journal Windows PowerShell.
-------------------------- EXEMPLE 5 --------------------------
C:\PS>get-winevent -listprovider *
Description
-----------
Cette commande obtient les fournisseurs de journaux des événements sur l'ordinateur local et les journaux dans lesquels ils écrivent, le cas échéant.
-------------------------- EXEMPLE 6 --------------------------
C:\PS>(get-winevent -listlog Application).providernames
Description
-----------
Cette commande obtient tous les fournisseurs qui écrivent dans le journal des applications sur l'ordinateur local.
-------------------------- EXEMPLE 7 --------------------------
C:\PS>>get-winevent -listprovider *policy*
Description
-----------
Cette commande obtient les fournisseurs de journaux des événements dont le nom inclut le mot « policy ».
-------------------------- EXEMPLE 8 --------------------------
C:\PS>(get-winevent -listprovider microsoft-windows-grouppolicy).events | format-table id, description -auto
Description
-----------
Cette commande répertorie les ID d'événements que le fournisseur d'événements Microsoft-Windows-GroupPolicy génère avec la description d'événement.
Elle utilise la propriété Events de l'objet que Get-WinEvent retourne lorsque vous utilisez le paramètre ListProvider, ainsi que les propriétés ID et Description de l'objet dans la propriété Events.
-------------------------- EXEMPLE 9 --------------------------
C:\PS>$events = get-winevent -logname "Windows PowerShell"
C:\PS> $events.count
195
C:\PS> $events | group-object id -noelement | sort-object count -desc
Count Name
----- ----
147 600
22 400
21 601
3 403
2 103
C:\PS> $events | group-object leveldisplayname -noelement
Count Name
----- ----
2 Warning
193 Information
Description
-----------
Cet exemple montre comment utiliser les propriétés des objets événements que Get-WinEvent retourne pour en savoir plus sur les événements présents dans un journal des événements.
La première commande utilise l'applet de commande Get-WinEvent pour obtenir tous les événements présents dans le journal des événements Windows PowerShell. Ensuite, elle les enregistre dans la variable $events. Le nom du journal figure entre guillemets parce qu'il contient un espace.
La deuxième commande utilise la propriété Count des collections d'objets pour déterminer le nombre d'entrées dans le journal des événements.
La troisième commande affiche la fréquence de chaque événement dans le journal, indiquant en premier les événements les plus fréquents. Dans cet exemple, l'ID d'événement 600 est le plus fréquent.
La quatrième commande regroupe les éléments par la valeur de leur propriété LevelDisplayName pour indiquer combien d'événements de type erreur (Error), avertissement (Warning) et informations (Information) se trouvent dans le journal.
-------------------------- EXEMPLE 10 --------------------------
C:\PS>get-winevent -logname *disk*, Microsoft-Windows-Kernel-WHEA
Description
-----------
Cette commande obtient les événements d'erreur dont le nom inclut « disk » de tous les journaux des événements présents sur l'ordinateur et du journal des événements Microsoft-Windows-Kernel-WHEA.
-------------------------- EXEMPLE 11 --------------------------
C:\PS>get-winevent -path 'c:\ps-test\Windows PowerShell.evtx'
Description
-----------
Cette commande obtient les événements en provenance d'une copie du fichier journal des événements Windows PowerShell dans un répertoire de test. Le chemin d'accès est entre guillemets parce que le nom du journal inclut un espace.
-------------------------- EXEMPLE 12 --------------------------
C:\PS>get-winevent -path 'c:\tracing\tracelog.etl' -maxevents 100 -oldest
C:\PS> get-winevent -path 'c:\tracing\tracelog.etl' -oldest | sort-object -property timecreated -desc | select-object -first 100
Description
-----------
Ces commandes obtiennent les 100 premiers événements d'un fichier journal des traces d'événements ETW (Suivi d'événements pour Windows).
La première commande obtient les 100 événements les plus anciens du journal. Elle utilise l'applet de commande Get-WinEvent pour obtenir les événements à partir du fichier Tracelog.etl. Elle utilise le paramètre MaxEvents pour limiter la récupération à 100 événements. Comme les événements sont répertoriés dans l'ordre dans lequel ils sont écrits dans le journal (du plus ancien au plus récent), le paramètre Oldest est requis.
La deuxième commande obtient les 100 événements les plus récents du journal. Elle utilise l'applet de commande Get-WinEvent pour obtenir tous les événements du fichier Tracing.etl. Elle passe
les événements à l'applet de commande Sort-Object, qui les trie dans l'ordre décroissant par la valeur de la propriété TimeCreated. Ensuite, elle envoie les événements triés à l'applet de commande Select-Object pour qu'elle sélectionne les 100 événements les plus récents.
-------------------------- EXEMPLE 13 --------------------------
C:\PS>get-winevent -path "c:\tracing\tracelog.etl", "c:\Logs\Windows PowerShell.evtx" -oldest | where {$_.id -eq "103"}
Description
-----------
Cet exemple montre comment obtenir les événements d'un fichier journal des traces d'événements (.etl) et d'une copie du fichier journal Windows PowerShell (.evtx) qui a été enregistrée dans un répertoire de test.
Vous pouvez combiner plusieurs types de fichiers dans une même commande. Étant donné que les fichiers contiennent le même type d'objet .NET Framework (objet EventLogRecord), vous pouvez utiliser les mêmes propriétés pour les filtrer.
Notez que la commande requiert le paramètre Oldest car elle lit à partir d'un fichier .etl, mais le paramètre Oldest s'applique aux deux fichiers.
-------------------------- EXEMPLE 14 --------------------------
C:\PS># Use the Where-Object cmdlet
C:\PS> $yesterday = (get-date) - (new-timespan -day 1)
C:\PS> get-winevent -logname "Windows PowerShell" | where {$_.timecreated -ge $yesterday}
# Uses FilterHashTable
C:\PS> $yesterday = (get-date) - (new-timespan -day 1)
C:\PS> get-winevent -FilterHashTable @{LogName='Windows PowerShell'; Level=3; StartTime=$yesterday}
# Use FilterXML
C:\PS> get-winevent -FilterXML "<QueryList><Query><Select Path='Windows PowerShell'>*[System[Level=3 and TimeCreate
d[timediff(@SystemTime) <= 86400000]]]</Select></Query></QueryList>"
# Use FilterXPath
C:\PS> get-winevent -LogName "Windows Powershell" -FilterXPath "*[System[Level=3 and TimeCreated[timediff(@SystemTime) <= 86400000]]]"
Description
-----------
Cet exemple montre des méthodes de filtrage différentes pour sélectionner des événements à partir d'un journal des événements. Toutes ces commandes obtiennent les événements qui se sont produits au cours des dernières 24 heures à partir du journal des événements Windows PowerShell.
Les méthodes de filtrage sont plus efficaces que l'utilisation de l'applet de commande Where-Object parce que les filtres sont appliqués pendant que les objets sont récupérés, et non pas après.
Comme il est difficile de formuler des dates dans les formats XML et XPath, la fonctionnalité Filtrer le journal actuel de l'Observateur d'événements est utilisée pour créer le contenu XML pour la date. Pour plus d'informations sur cette fonctionnalité, consultez l'aide de l'Observateur d'événements.
-------------------------- EXEMPLE 15 --------------------------
C:\PS>$date = (get-date).AddDays(-2)
C:\PS> $events = get-winevent -FilterHashTable @{ logname = "Microsoft-Windows-Diagnostics-Performance/Operational" ; StartTime = $date; ID = 100 }
Description
-----------
Cet exemple utilise une table de hachage de filtre pour obtenir des événements à partir du journal de performance.
La première commande utilise l'applet de commande Get-Date et la méthode AddDays pour obtenir la date qui est deux jours avant la date actuelle. Elle enregistre la date dans la variable $date.
La deuxième commande utilise l'applet de commande Get-WinEvent avec le paramètre FilterHashTable. Les clés de la table de hachage définissent un filtre qui sélectionne les événements du journal de performance qui se sont produits au cours des deux derniers jours et qui ont un ID d'événement 100.
La clé LogName spécifie le journal des événements, la clé StartTime spécifie la date et la clé ID spécifie l'ID d'événement.
-------------------------- EXEMPLE 16 --------------------------
C:\PS>$starttime = (get-date).adddays(-7)
C:\PS> $ie-error = Get-WinEvent -FilterHashtable @{logname="application"; providername="Application Error"; data="iexplore.exe"; starttime=$starttime}
Description
-----------
Cet exemple utilise une table de hachage de filtre pour rechercher les erreurs d'application Internet Explorer qui se sont produites au cours de la dernière semaine.
La première commande obtient la date antérieure de sept jours à la date actuelle et la stocke dans la variable $starttime.
La deuxième commande utilise l'applet de commande Get-WinEvent avec le paramètre FilterHashTable. Les clés dans la table de hachage définissent un filtre qui sélectionne les événements du journal des applications qui ont été écrits par le fournisseur d'erreurs d'application et qui incluent l'expression « iexplore.exe ».
La clé LogName spécifie le journal des événements. La clé ProviderName spécifie le fournisseur d'événements, la clé StartTime spécifie la date de début des événements et la clé Data spécifie le texte du message d'événement.
LIENS CONNEXES
Online version: http://go.microsoft.com/fwlink/?LinkID=138336
Get-EventLog
Get-Counter
about_EventLogs
sa serait bien que pour des debutant comme moi sa sois mieux expliquer SYNTAXE
RépondreSupprimerGet-WinEvent [-LogName] [-ComputerName ] [-Credential ] [-FilterXPath ] [-Force ] [-MaxEvents ] [-Oldest] []
Get-WinEvent [-Path] [-ComputerName ] [-Credential ] [-FilterXPath ] [-Force ] [-MaxEvents ] [-Oldest] []
Get-WinEvent [-ProviderName] [-ComputerName ] [-Credential ] [-FilterXPath ] [-Force ] [-MaxEvents ] [-Oldest] []
Get-WinEvent -FilterHashTable [-ComputerName ] [-Credential ] [-Force ] [-MaxEvents ] [-Oldest] []
Get-WinEvent [-ListLog] [-ComputerName ] [-Credential ] []
Get-WinEvent [-ListProvider] [-ComputerName ] [-Credential ] []
Get-WinEvent -FilterXml [-ComputerName ] [-Credential ] [-Force ] [-Max Events ] [-Oldest] []