Get-WinEvent

Get-WinEvent
    [[-LogName] <string[]>]
    [-MaxEvents <long>]
    [-ComputerName <string>]
    [-Credential <pscredential>]
    [-FilterXPath <string>]
    [-Force]
    [-Oldest]
    [<CommonParameters>]

Get-WinEvent
    [-ListLog] <string[]>
    [-ComputerName <string>]
    [-Credential <pscredential>]
    [-Force]
    [<CommonParameters>]

Get-WinEvent
    [-ListProvider] <string[]>
    [-ComputerName <string>]
    [-Credential <pscredential>]
    [<CommonParameters>]

Get-WinEvent
    [-ProviderName] <string[]>
    [-MaxEvents <long>]
    [-ComputerName <string>]
    [-Credential <pscredential>]
    [-FilterXPath <string>]
    [-Force]
    [-Oldest]
    [<CommonParameters>]

Get-WinEvent
    [-Path] <string[]>
    [-MaxEvents <long>]
    [-Credential <pscredential>]
    [-FilterXPath <string>]
    [-Oldest]
    [<CommonParameters>]

Get-WinEvent
    [-FilterXml] <xml>
    [-MaxEvents <long>]
    [-ComputerName <string>]
    [-Credential <pscredential>]
    [-Oldest]
    [<CommonParameters>]

Get-WinEvent
    [-FilterHashtable] <hashtable[]>
    [-MaxEvents <long>]
    [-ComputerName <string>]
    [-Credential <pscredential>]
    [-Force]
    [-Oldest]
    [<CommonParameters>]

L’applet de commande obtient les événements des journaux d’événements, y compris les journaux classiques, tels que les journaux d’activité système système et des journaux d' d’application. L’applet de commande obtient les données des journaux d’événements générés par la technologie du journal des événements Windows introduite dans Windows Vista. Et, les événements dans les fichiers journaux générés par suivi des événements pour Windows (ETW). Par défaut, Get-WinEvent retourne les informations d’événement dans l’ordre du plus récent au plus ancien.

Get-WinEvent répertorie les journaux des événements et les fournisseurs de journaux d’événements. Pour interrompre la commande, appuyez sur Ctrl+C. Vous pouvez obtenir des événements à partir des journaux sélectionnés ou des journaux générés par les fournisseurs d’événements sélectionnés. Vous pouvez également combiner des événements à partir de plusieurs sources dans une seule commande. Get-WinEvent vous permet de filtrer les événements à l’aide de requêtes XPath, de requêtes XML structurées et de requêtes de table de hachage.

Si vous n’exécutez pas PowerShell en tant qu’administrateur, vous pouvez voir des messages d’erreur que vous ne pouvez pas récupérer d’informations sur un journal.

Cette commande obtient tous les journaux d’événements sur l’ordinateur local. Les journaux sont répertoriés dans l’ordre dans lequel Get-WinEvent les obtient. Les journaux classiques sont récupérés en premier, suivis des nouveaux journaux d’événements Windows. Il est possible qu’un journal RecordCount soit null, qui est vide ou zéro.

Get-WinEvent -ListLog *

LogMode   MaximumSizeInBytes RecordCount LogName
-------   ------------------ ----------- -------
Circular            15532032       14500 Application
Circular             1052672         117 Azure Information Protection
Circular             1052672        3015 CxAudioSvcLog
Circular            20971520             ForwardedEvents
Circular            20971520           0 HardwareEvents

L’applet de commande Get-WinEvent obtient des informations de journal à partir de l’ordinateur. Le paramètre ListLog utilise le caractère générique astérisque (*) pour afficher des informations sur chaque journal.

Cette commande obtient un objet EventLogConfiguration qui représente le journal d’installation de classique. L’objet inclut des informations sur le journal, telles que la taille de fichier, le fournisseur, le chemin d’accès au fichier et si le journal est activé.

Get-WinEvent -ListLog Setup | Format-List -Property *

FileSize                       : 69632
IsLogFull                      : False
LastAccessTime                 : 3/13/2019 09:41:46
LastWriteTime                  : 3/13/2019 09:41:46
OldestRecordNumber             : 1
RecordCount                    : 23
LogName                        : Setup
LogType                        : Operational
LogIsolation                   : Application
IsEnabled                      : True
IsClassicLog                   : False
SecurityDescriptor             : O:BAG:SYD: ...
LogFilePath                    : %SystemRoot%\System32\Winevt\Logs\Setup.evtx
MaximumSizeInBytes             : 1052672
LogMode                        : Circular
OwningProviderName             : Microsoft-Windows-Eventlog
ProviderNames                  : {Microsoft-Windows-WUSA, Microsoft-Windows-ActionQueue...
ProviderLevel                  :
ProviderKeywords               :
ProviderBufferSize             : 64
ProviderMinimumNumberOfBuffers : 0
ProviderMaximumNumberOfBuffers : 64
ProviderLatency                : 1000
ProviderControlGuid            :

L’applet de commande utilise le paramètre ListLog pour spécifier le journal d’installation . L’objet est envoyé vers le bas du pipeline à l’applet Format-List de commande. utilise le paramètre Property avec le caractère générique astérisque () pour afficher chaque propriété.

Cette commande obtient uniquement les journaux des événements sur l’ordinateur local qui contient des événements. Il est possible que le RecordCount d’un journal soit null ou zéro. L’exemple utilise la variable $_. Pour plus d’informations, consultez à propos des variables automatiques.

Get-WinEvent -ListLog * -ComputerName localhost | Where-Object { $_.RecordCount }

LogMode   MaximumSizeInBytes RecordCount LogName
-------   ------------------ ----------- -------
Circular            15532032       14546 Application
Circular             1052672         117 Azure Information Protection
Circular             1052672        2990 CxAudioSvcLog
Circular             1052672           9 MSFTVPN Setup
Circular             1052672         282 OAlerts

L’applet de commande Get-WinEvent obtient des informations de journal à partir de l’ordinateur. Le paramètre ListLog utilise le caractère générique astérisque (*) pour afficher des informations sur chaque journal. Le paramètre ComputerName spécifie d’obtenir les journaux à partir de l’ordinateur local, localhost. Les objets sont envoyés au pipeline à l’applet de commande Where-Object. Where-Object utilise $_.RecordCount pour retourner uniquement les journaux contenant des données. $_ est une variable qui représente l’objet actuel dans le pipeline. RecordCount est une propriété de l’objet avec une valeur non null.

Cet exemple obtient des objets qui représentent les journaux d’événements application sur trois ordinateurs : Server01, Server02 et Server03. Le mot clé ForEach est utilisé, car le paramètre ComputerName n’accepte qu’une seule valeur. Pour plus d’informations, consultez about_Foreach.

$S = 'Server01', 'Server02', 'Server03'
ForEach ($Server in $S) {
  Get-WinEvent -ListLog Application -ComputerName $Server |
    Select-Object LogMode, MaximumSizeInBytes, RecordCount, LogName,
      @{name='ComputerName'; expression={$Server}} |
    Format-Table -AutoSize
}

 LogMode MaximumSizeInBytes RecordCount LogName     ComputerName
 ------- ------------------ ----------- -------     ------------
Circular           15532032       14577 Application Server01
Circular           15532032        9689 Application Server02
Circular           15532032        5309 Application Server03

La variable $S stocke les noms trois serveurs : Server01, Server02et Server03. L’instruction ForEach utilise une boucle pour traiter chaque serveur, ($Server in $S). Le bloc de script dans les accolades ({ }) exécute la commande Get-WinEvent. Le paramètre ListLog spécifie le journal application . Le paramètre ComputerName utilise la variable $Server pour obtenir des informations de journal à partir de chaque serveur.

Les objets sont envoyés au pipeline à l’applet de commande Select-Object. Select-Object obtient les propriétés LogMode, MaximumSizeInBytes, RecordCount, LogName, et utilise une expression calculée pour afficher l'ComputerName à l’aide de la variable $Server. Les objets sont envoyés au pipeline à l’applet de commande Format-Table pour afficher la sortie dans la console PowerShell. Le paramètre AutoSize met en forme la sortie pour qu’elle corresponde à l’écran.

Cette commande obtient les fournisseurs de journaux d’événements et les journaux dans lesquels ils écrivent.

Get-WinEvent -ListProvider *

Name     : .NET Runtime
LogLinks : {Application}
Opcodes  : {}
Tasks    : {}

Name     : .NET Runtime Optimization Service
LogLinks : {Application}
Opcodes  : {}
Tasks    : {}

L’applet de commande Get-WinEvent obtient des informations de journal à partir de l’ordinateur. Le paramètre ListProvider utilise le caractère générique astérisque () pour afficher des informations sur chaque fournisseur. Dans la sortie, le nom est le fournisseur et LogLinks est le journal dans lequel le fournisseur écrit.

Cette commande obtient tous les fournisseurs qui écrivent dans le journal application.

(Get-WinEvent -ListLog Application).ProviderNames

.NET Runtime
.NET Runtime Optimization Service
Application
Application Error
Application Hang
Application Management

L’applet de commande Get-WinEvent obtient des informations de journal à partir de l’ordinateur. Le paramètre ListLog utilise application pour obtenir des objets pour ce journal. ProviderNames est une propriété de l’objet et affiche les fournisseurs qui écrivent dans le journal application.

Cette commande obtient les fournisseurs de journaux d’événements avec des noms qui incluent une chaîne spécifique dans le nom du fournisseur.

Get-WinEvent -ListProvider *Policy*

Name     : Group Policy Applications
LogLinks : {Application}
Opcodes  : {}
Tasks    : {}

Name     : Group Policy Client
LogLinks : {Application}
Opcodes  : {}
Tasks    : {}

Name     : Group Policy Data Sources
LogLinks : {Application}
Opcodes  : {}
Tasks    : {}

L’applet de commande Get-WinEvent obtient des informations de journal à partir de l’ordinateur. Le paramètre ListProvider utilise le caractère générique astérisque () pour rechercher stratégie n’importe où dans le nom du fournisseur.

Cette commande répertorie les ID d’événement générés par le fournisseur d’événements Microsoft-Windows-GroupPolicy, ainsi que la description de l’événement.

(Get-WinEvent -ListProvider Microsoft-Windows-GroupPolicy).Events | Format-Table Id, Description

  Id  Description
  --  -----------
1500  The Group Policy settings for the computer were processed successfully...
1501  The Group Policy settings for the user were processed successfully...
4115  Group Policy Service started.
4116  Started the Group Policy service initialization phase.
4117  Group Policy Session started.

L’applet de commande Get-WinEvent obtient des informations de journal à partir de l’ordinateur. Le paramètre ListProvider spécifie le fournisseur Microsoft-Windows-GroupPolicy. L’expression est encapsulée entre parenthèses et utilise la propriété Events pour obtenir des objets. Les objets sont envoyés au pipeline à l’applet de commande Format-Table. Format-Table affiche l’ID de et Description des objets d’événement.

Cet exemple montre comment obtenir des informations sur le contenu d’un journal à l’aide de propriétés d’objet d’événement. Les objets d’événement sont stockés dans une variable, puis regroupés et comptés par ID d’événement et niveau.

PS> $Event = Get-WinEvent -LogName 'Windows PowerShell'

PS> $Event.Count
195

PS> $Event | Group-Object -Property Id -NoElement | Sort-Object -Property Count -Descending

Count  Name
-----  ----
  147  600
   22  400
   21  601
    3  403
    2  103

PS> $Event | Group-Object -Property LevelDisplayName -NoElement

Count  Name
-----  ----
    2  Warning
  193  Information

L’applet de commande utilise le paramètre LogName pour spécifier le journal des événements Windows PowerShell . Les objets d’événement sont stockés dans la variable $Event.

$Event.Count utilise la propriété $Event de la variable pour afficher le nombre total d’événements journalisés.

La variable $Event est envoyée au pipeline à l’applet de commande Group-Object. utilise le paramètre Property pour spécifier la propriété ID et compte les objets par Id. Le paramètre NoElement supprime d’autres propriétés de la sortie des objets. Les objets groupés sont envoyés au pipeline à l’applet de commande Sort-Object. utilise le paramètre Property pour trier les objets par Count. Le paramètre décroissant affiche la sortie par nombre, du plus haut au plus bas. Dans la sortie, la colonne count contient le nombre total de chaque événement. La colonne Name contient les numéros ID groupés.

La variable $Event est envoyée au pipeline à l’applet de commande Group-Object. Group-Object utilise le paramètre Property pour spécifier la propriété LevelDisplayName et compte les objets par LevelDisplayName. Les objets sont regroupés par les niveaux tels que d’avertissement et Informations. Le paramètre NoElement supprime d’autres propriétés de la sortie. Dans la sortie, la colonne count contient le nombre total de chaque événement. La colonne Name contient leLevelDisplayName groupé .

Cet exemple utilise une chaîne séparée par des virgules de noms de journaux. La sortie est regroupée par le niveau tel que l’erreur ou l’avertissement et le nom du journal.

Get-WinEvent -LogName  *PowerShell*, Microsoft-Windows-Kernel-WHEA* | Group-Object -Property LevelDisplayName, LogName -NoElement | Format-Table -AutoSize

Count  Name
-----  ----
    1  Error, PowerShellCore/Operational
   26  Information, Microsoft-Windows-Kernel-WHEA/Operational
  488  Information, Microsoft-Windows-PowerShell/Operational
   77  Information, PowerShellCore/Operational
 9835  Information, Windows PowerShell
   19  Verbose, PowerShellCore/Operational
  444  Warning, Microsoft-Windows-PowerShell/Operational
  512  Warning, PowerShellCore/Operational

L’applet de commande Get-WinEvent obtient des informations de journal à partir de l’ordinateur. Le paramètre LogName utilise une chaîne séparée par des virgules avec le caractère générique astérisque (*) pour spécifier les noms de journal. Les objets sont envoyés au pipeline à l’applet de commande Group-Object. utilise le paramètre Property pour regrouper les objets par LevelDisplayName et LogName. Le paramètre NoElement supprime d’autres propriétés de la sortie. Les objets groupés sont envoyés au pipeline à l’applet de commande Format-Table. Format-Table utilise le paramètre AutoSize pour mettre en forme les colonnes. La colonne Count contient le nombre total de chaque événement. La colonne Name contient le LevelDisplayName groupé et LogName.

Get-WinEvent pouvez obtenir des informations sur les événements à partir des fichiers journaux enregistrés. Cet exemple utilise un journal PowerShell archivé stocké sur l’ordinateur local.

Get-WinEvent -Path 'C:\Test\Windows PowerShell.evtx'

   ProviderName: PowerShell

TimeCreated              Id LevelDisplayName  Message
-----------              -- ----------------  -------
3/15/2019 13:54:13      403 Information       Engine state is changed from Available to Stopped...
3/15/2019 13:54:13      400 Information       Engine state is changed from None to Available...
3/15/2019 13:54:13      600 Information       Provider "Variable" is Started...
3/15/2019 13:54:13      600 Information       Provider "Function" is Started...
3/15/2019 13:54:13      600 Information       Provider "FileSystem" is Started...

L’applet de commande Get-WinEvent obtient des informations de journal à partir de l’ordinateur. Le paramètre Path spécifie le répertoire et le nom du fichier.

Ces commandes obtiennent un nombre spécifique d’événements à partir d’un journal des événements archivé. Get-WinEvent a des paramètres qui peuvent obtenir un nombre maximal d’événements ou les événements les plus anciens. Cet exemple utilise un journal PowerShell archivé stocké dans C :\Test\PowerShellCore Operational.evtx.

PS> Get-WinEvent -Path 'C:\Test\PowerShellCore Operational.evtx' -MaxEvents 100

   ProviderName: PowerShellCore

TimeCreated                 Id   LevelDisplayName  Message
-----------                 --   ----------------  -------
3/15/2019 09:54:54        4104   Warning           Creating Scriptblock text (1 of 1):...
3/15/2019 09:37:13       40962   Information       PowerShell console is ready for user input
3/15/2019 07:56:24        4104   Warning           Creating Scriptblock text (1 of 1):...
...
3/7/2019 10:53:22        40961   Information       PowerShell console is starting up
3/7/2019 10:53:22         8197   Verbose           Runspace state changed to Opening
3/7/2019 10:53:22         8195   Verbose           Opening RunspacePool

L’applet de commande Get-WinEvent obtient des informations de journal à partir de l’ordinateur. Le paramètre Path spécifie le répertoire et le nom du fichier. Le paramètre MaxEvents spécifie que 100 enregistrements sont affichés, du plus récent au plus ancien.

Le suivi des événements pour Windows (ETW) écrit des événements dans le journal à mesure que des événements se produisent. Les événements sont stockés dans l’ordre du plus ancien au plus récent. Un fichier ETW archivé est enregistré sous la forme d’un .etl tel que TraceLog.etl. Les événements sont répertoriés dans l’ordre dans lequel ils sont écrits dans le journal, de sorte que le paramètre le plus ancien est requis.

PS> Get-WinEvent -Path 'C:\Tracing\TraceLog.etl' -Oldest | Sort-Object -Property TimeCreated -Descending | Select-Object -First 100

L’applet de commande Get-WinEvent obtient des informations de journal à partir du fichier archivé. Le paramètre Path spécifie le répertoire et le nom du fichier. Le paramètre le plus ancien est utilisé pour générer des événements dans l’ordre dans lequel ils sont écrits, les plus anciens au plus récent. Les objets sont envoyés au pipeline à l’applet de commande Sort-ObjectSort-Object trie les objets dans l’ordre décroissant en fonction de la valeur de la propriété TimeCreated. Les objets sont envoyés au pipeline à l’applet de commande Select-Object qui affiche les 100 événements les plus récents.

Cet exemple montre comment obtenir les événements à partir d’un fichier journal de trace d’événements (.etl) et d’un fichier journal Windows PowerShell archivé (.evtx). Vous pouvez combiner plusieurs types de fichiers dans une seule commande. Étant donné que les fichiers contiennent le même type d’objet .NET Framework, EventLogRecord, vous pouvez les filtrer avec les mêmes propriétés. La commande nécessite le paramètre le plus ancien, car il lit à partir d’un fichier .etl, mais le paramètre le plus ancien s’applique à chaque fichier.

PS> Get-WinEvent -Path 'C:\Tracing\TraceLog.etl', 'C:\Test\Windows PowerShell.evtx' -Oldest | Where-Object { $_.Id -eq '403' }

L’applet de commande Get-WinEvent obtient les informations de journal des fichiers archivés. Le paramètre Path utilise une liste séparée par des virgules pour spécifier chaque répertoire de fichiers et nom de fichier. Le paramètre le plus ancien est utilisé pour générer des événements dans l’ordre dans lequel ils sont écrits, les plus anciens au plus récent. Les objets sont envoyés au pipeline à l’applet de commande Where-Object. Where-Object utilise un bloc de script pour rechercher des événements avec et ID de 403. La variable $_ représente l’objet actuel dans le pipeline et Id est la propriété ID d’événement.

Cet exemple montre diverses méthodes pour filtrer et sélectionner des événements dans un journal des événements. Toutes ces commandes obtiennent des événements qui se sont produits au cours des 24 dernières heures à partir du journal des événements Windows PowerShell. Les méthodes de filtre sont plus efficaces que l’utilisation de l’applet de commande Where-Object. Les filtres sont appliqués à mesure que les objets sont récupérés. Where-Object récupère tous les objets, puis applique des filtres à tous les objets.

# Using the Where-Object cmdlet:
PS> $Yesterday = (Get-Date) - (New-TimeSpan -Day 1)
PS> Get-WinEvent -LogName 'Windows PowerShell' | Where-Object { $_.TimeCreated -ge $Yesterday }

# Using the FilterHashtable parameter:
PS> $Yesterday = (Get-Date) - (New-TimeSpan -Day 1)
PS> Get-WinEvent -FilterHashtable @{ LogName='Windows PowerShell'; Level=3; StartTime=$Yesterday }

# Using the FilterXML parameter:
PS> Get-WinEvent -FilterXML "<QueryList><Query><Select Path='Windows PowerShell'>*[System[Level=3 and TimeCreated[timediff(@SystemTime)&lt;= 86400000]]]</Select></Query></QueryList>"

# Using the FilterXPath parameter:
PS> Get-WinEvent -LogName 'Windows PowerShell' -FilterXPath "*[System[Level=3 and TimeCreated[timediff(@SystemTime) &lt;= 86400000]]]"

Cet exemple utilise le paramètre FilterHashtable pour obtenir des événements à partir du journal application . La table de hachage utilise paires clé/valeur. Pour plus d’informations sur le paramètre filterHashtable , consultez Création de requêtes Get-WinEvent avec filterHashtable. Pour plus d’informations sur les tables de hachage, voir À propos des tables de hachage.

$Date = (Get-Date).AddDays(-2)
Get-WinEvent -FilterHashtable @{ LogName='Application'; StartTime=$Date; Id='1003' }

L’applet de commande Get-Date utilise la méthode AddDays pour obtenir une date de deux jours avant la date actuelle. L’objet date est stocké dans la variable $Date.

L’applet de commande Get-WinEvent obtient des informations de journal. Le paramètre FilterHashtable est utilisé pour filtrer la sortie. La clé LogName spécifie la valeur comme journal de application . La clé StartTime utilise la valeur stockée dans la variable $Date. La clé ID de utilise une valeur d’ID d’événement, 1003.

Cet exemple utilise le paramètre FilterHashtable pour rechercher les erreurs d’application Internet Explorer qui se sont produites au cours de la semaine dernière.

$StartTime = (Get-Date).AddDays(-7)
Get-WinEvent -FilterHashtable @{ Logname='Application'; ProviderName='Application Error'; Data='iexplore.exe'; StartTime=$StartTime }

L’applet de commande utilise la méthode AddDays pour obtenir une date de sept jours avant la date actuelle. L’objet date est stocké dans la variable $StartTime.

L’applet de commande Get-WinEvent obtient des informations de journal. Le paramètre FilterHashtable est utilisé pour filtrer la sortie. La clé LogName spécifie la valeur comme journal de application . La clé ProviderName utilise la valeurd’erreur d’application , qui est lasource de l’événement. La clé Data utilise la valeur iexplore.exe la clé StartTime utilise la valeur stockée dans variable.

Cette applet de commande prend en charge les paramètres courants : -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction et -WarningVariable. Pour plus d’informations, consultez about_CommonParameters.

Vous pouvez pipeliner un LogName (chaîne), une requête FilterXML ou une requête FilterHashtable à .

Avec le paramètre ListLog , retourne objets System.Diagnostics.Eventing.Reader.EventLogConfiguration.

Avec le paramètre ListProvider , retourne objets System.Diagnostics.Eventing.Reader.ProviderMetadata.

Avec tous les autres paramètres, Get-WinEvent retourne objets System.Diagnostics.Eventing.Reader.EventLogRecord.

Get-WinEvent s’exécute sur Windows Vista, Windows Server 2008 R2 et versions ultérieures de Windows.

Get-WinEvent est conçu pour remplacer l’applet de commande Get-EventLog sur les ordinateurs exécutant Windows Vista et les versions ultérieures de Windows. Get-EventLog obtient uniquement les événements dans les journaux d’événements classiques. Get-EventLog est conservé dans les versions antérieures à PowerShell 6 pour la compatibilité descendante.

Les applets de commande Get-WinEvent et Get-EventLog ne sont pas prises en charge dans Windows Pre-installation Environment (Windows PE).