New-EventLog
Erstellt ein neues Ereignisprotokoll und eine neue Ereignisquelle auf einem lokalen oder Remotecomputer.
Syntax
Default (Standard)
New-EventLog
[-LogName] <string>
[-Source] <string[]>
[[-ComputerName] <string[]>]
[-CategoryResourceFile <string>]
[-MessageResourceFile <string>]
[-ParameterResourceFile <string>]
[<CommonParameters>]
Beschreibung
Dieses Cmdlet erstellt ein neues klassisches Ereignisprotokoll auf einem lokalen oder Remotecomputer. Sie kann auch eine Ereignisquelle registrieren, die in das neue Protokoll oder in ein vorhandenes Protokoll schreibt.
Die Cmdlets, die das EventLog-Substantiv enthalten (die Ereignisprotokoll-Cmdlets), funktionieren nur für klassische Ereignisprotokolle.
Um Ereignisse aus Protokollen abzurufen, die die Windows-Ereignisprotokolltechnologie in Windows Vista und höheren Versionen von Windows verwenden, verwenden Sie Get-WinEvent.
Beispiele
Beispiel 1 : Erstellen eines neuen Ereignisprotokolls
Mit diesem Befehl wird das TestLog-Ereignisprotokoll auf dem lokalen Computer erstellt und eine neue Quelle dafür registriert.
New-EventLog -source TestApp -LogName TestLog -MessageResourceFile C:\Test\TestApp.dll
Beispiel 2 : Hinzufügen einer neuen Ereignisquelle zu einem vorhandenen Protokoll
Mit diesem Befehl wird dem Anwendungsprotokoll auf dem Remotecomputer Server01 eine neue Ereignisquelle, NewTestApp, hinzugefügt.
$file = "C:\Program Files\TestApps\NewTestApp.dll"
New-EventLog -ComputerName Server01 -Source NewTestApp -LogName Application -MessageResourceFile $file -CategoryResourceFile $file
Der Befehl setzt voraus, dass sich die NewTestApp.dll Datei auf dem Computer Server01 befindet.
Parameter
-CategoryResourceFile
Gibt den Pfad zu der Datei an, die Kategoriezeichenfolgen für die Quellereignisse enthält. Diese Datei wird auch als Kategorienachrichtendatei bezeichnet.
Die Datei muss auf dem Computer vorhanden sein, auf dem das Ereignisprotokoll erstellt wird. Mit diesem Parameter werden keine Dateien erstellt oder verschoben.
Parametereigenschaften
| Typ: | String |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
| Aliase: | CRF |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-ComputerName
Erstellt die neuen Ereignisprotokolle auf den angegebenen Computern. Der Standardwert ist der lokale Computer.
Der NetBIOS-Name, die IP-Adresse oder der vollqualifizierte Domänenname eines Remotecomputers. Um den lokalen Computer anzugeben, geben Sie den Computernamen, einen Punkt (.) oder "localhost" ein.
Dieser Parameter beruht nicht auf PowerShell-Remoting. Sie können den ComputerName Parameter von Get-EventLog verwenden, auch wenn Ihr Computer nicht für die Ausführung von Remotebefehlen konfiguriert ist.
Parametereigenschaften
| Typ: | String[] |
| Standardwert: | Local computer |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
| Aliase: | China |
Parametersätze
(All)
| Position: | 3 |
| Obligatorisch: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-LogName
Gibt den Namen des Ereignisprotokolls an.
Wenn das Protokoll nicht vorhanden ist, erstellt New-EventLog das Protokoll und verwendet diesen Wert für die Log und LogDisplayName Eigenschaften des neuen Ereignisprotokolls. Wenn das Protokoll vorhanden ist, registriert New-EventLog eine neue Quelle für das Ereignisprotokoll.
Parametereigenschaften
| Typ: | String |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
| Aliase: | LN |
Parametersätze
(All)
| Position: | 1 |
| Obligatorisch: | True |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-MessageResourceFile
Gibt den Pfad zu der Datei an, die Nachrichtenformatierungszeichenfolgen für die Quellereignisse enthält. Diese Datei wird auch als Ereignismeldungsdatei bezeichnet.
Die Datei muss auf dem Computer vorhanden sein, auf dem das Ereignisprotokoll erstellt wird. Mit diesem Parameter werden keine Dateien erstellt oder verschoben.
Parametereigenschaften
| Typ: | String |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
| Aliase: | MRF |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-ParameterResourceFile
Gibt den Pfad zu der Datei an, die Zeichenfolgen enthält, die für Parameterersetzungen in Ereignisbeschreibungen verwendet werden. Diese Datei wird auch als Parameternachrichtendatei bezeichnet.
Die Datei muss auf dem Computer vorhanden sein, auf dem das Ereignisprotokoll erstellt wird. Mit diesem Parameter werden keine Dateien erstellt oder verschoben.
Parametereigenschaften
| Typ: | String |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
| Aliase: | PRF |
Parametersätze
(All)
| Position: | Named |
| Obligatorisch: | False |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
-Source
Gibt die Namen der Ereignisprotokollquellen an, z. B. Anwendungsprogramme, die in das Ereignisprotokoll schreiben. Dieser Parameter ist erforderlich.
Parametereigenschaften
| Typ: | String[] |
| Standardwert: | None |
| Unterstützt Platzhalter: | False |
| Nicht anzeigen: | False |
| Aliase: | SRC |
Parametersätze
(All)
| Position: | 2 |
| Obligatorisch: | True |
| Wert aus Pipeline: | False |
| Wert aus Pipeline nach dem Eigenschaftsnamen: | False |
| Wert aus verbleibenden Argumenten: | False |
CommonParameters
Dieses Cmdlet unterstützt die allgemeinen Parameter -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction und -WarningVariable. Weitere Informationen findest du unter about_CommonParameters.
Eingaben
None
Eingaben können nicht an dieses Cmdlet weitergereicht werden.
Ausgaben
EventLogEntry
Hinweise
Für die Verwendung New-EventLog unter Windows Vista und höheren Versionen von Windows öffnen Sie PowerShell mit der Option "Als Administrator ausführen".
Um eine Ereignisquelle in Windows Vista, Windows XP Professional oder Windows Server 2003 zu erstellen, müssen Sie Mitglied der Gruppe "Administratoren" auf dem Computer sein.
Wenn Sie ein neues Ereignisprotokoll und eine neue Ereignisquelle erstellen, registriert das System die neue Quelle für das neue Protokoll, aber das Protokoll wird erst erstellt, wenn der erste Eintrag in das Protokoll geschrieben wird.
Das Betriebssystem speichert Ereignisprotokolle als Dateien.
Wenn Sie ein neues Ereignisprotokoll erstellen, wird die zugeordnete Datei im verzeichnis $env:SystemRoot\System32\Config auf dem angegebenen Computer gespeichert.
Der Dateiname besteht aus den ersten acht Zeichen der Log-Eigenschaft mit der Dateinamenerweiterung .evt.