16

如何使用 powershell 跟踪特定的 Windows 事件日志?是否可以?

4

3 回答 3

13

我有时会这样做:

$idx = (get-eventlog -LogName System -Newest 1).Index

while ($true)
{
  start-sleep -Seconds 1
  $idx2  = (Get-EventLog -LogName System -newest 1).index
  get-eventlog -logname system -newest ($idx2 - $idx) |  sort index
  $idx = $idx2
  }
于 2013-03-07T03:08:44.543 回答
7

根据 MSDN 文档:

Get-WinEvent旨在替换Get-EventLog运行 Windows Vista 和更高版本 Windows 的计算机上的 cmdlet。 Get-EventLog仅在经典事件日志中获取事件。Get-EventLog保留在 Windows PowerShell 中以实现向后兼容性。

并且由于我自己需要跟踪经典事件日志(这会是一个新的事件日志吗?),这是@mjolinor 的非常简洁的代码,重新用于使用 Get-WinEvent

Set-PSDebug -Strict
function Get-WinEventTail($LogName, $ShowExisting=10) {
    if ($ShowExisting -gt 0) {
        $data = Get-WinEvent -provider $LogName -max $ShowExisting
        $data | sort RecordId
        $idx = $data[0].RecordId
    }
    else {
        $idx = (Get-WinEvent -provider $LogName -max 1).RecordId
    }

    while ($true)
    {
        start-sleep -Seconds 1
        $idx2  = (Get-WinEvent -provider $LogName -max 1).RecordId
        if ($idx2 -gt $idx) {
            Get-WinEvent -provider $LogName -max ($idx2 - $idx) | sort RecordId
        }
        $idx = $idx2

        # Any key to terminate; does NOT work in PowerShell ISE!
        if ($Host.UI.RawUI.KeyAvailable) { return; }
    }
}

为方便起见,我添加了一些花里胡哨:

  • 默认情况下,它最初显示日志的最后 10 行,然后在出现新条目时连接它们——您可以通过ShowExisting参数将其调整为任何数字。
  • Get-WinEvent由于 tail 需要的自然顺序,它以最旧的第一个记录(与 ' 的默认值相反)对记录进行排序。
  • 您可以按任意键终止(但不能在 PowerShellISE 中)。
于 2013-05-03T17:11:48.163 回答
0

首先,谢谢迈克尔!

对我的用例进行了轻微改进,包括显示整个多行消息值。

    function Get-WinEventTail($Provider="JobRequestQueueConsumerBackgroundService", $ShowExisting=10) {
    $formatProperty = @{ expression={$_.TimeCreated}; label="TimeCreated"}, 
                      @{ expression={$_.Message}; label="Message"; width=100}
    if ($ShowExisting -gt 0) {
        $data = Get-WinEvent -ProviderName $Provider -max $ShowExisting
        if ($data) { 
            $data | sort RecordId | Format-Table -Property $formatProperty -Wrap
            $idx = $data[0].RecordId
        }
    }
    else {
        $idx = (Get-WinEvent -ProviderName $Provider -max 1).RecordId
    }

    while ($true)
    {
        start-sleep -Seconds 1
        $idx2  = (Get-WinEvent -ProviderName $Provider -max 1).RecordId
        if ($idx2 -gt $idx) {
            Get-WinEvent -ProviderName $Provider -max ($idx2 - $idx) | sort RecordId | Format-Table -Property $formatProperty -Wrap
        }
        $idx = $idx2

        # Any key to terminate; does NOT work in PowerShell ISE!
        if ($Host.UI.RawUI.KeyAvailable) { return; }
    }
}

Get-WinEventTail

-Wrap选项是显示多行消息所必需的,否则省略号会截断第一行末尾的消息。设置列宽没有帮助。

于 2020-09-30T17:27:41.057 回答