New-WinEvent
Létrehoz egy új Windows-eseményt a megadott eseményszolgáltatóhoz.
Syntax
New-WinEvent
[-ProviderName] <String>
[-Id] <Int32>
[-Version <Byte>]
[[-Payload] <Object[]>]
[<CommonParameters>]
Description
Ez a parancsmag csak a Windows platformon érhető el.
A New-WinEvent
parancsmag eseménykövetést hoz létre a Windows (ETW) eseményhez egy eseményszolgáltató számára.
Ezzel a parancsmaggal eseményeket adhat hozzá az ETW-csatornákhoz a PowerShellből.
Példák
1. példa – Új esemény létrehozása
New-WinEvent -ProviderName Microsoft-Windows-PowerShell -Id 45090 -Payload @("Workflow", "Running")
Ez a parancs a New-WinEvent
parancsmaggal hozza létre a 45090-as eseményt a Microsoft-Windows-PowerShell-szolgáltató számára.
2. példa – Egy esemény sablonjának lekérése
Ebben a példában Get-WinEvent
a 8007-as eseményazonosító sablonjának lekérésére szolgál a csoportházirend eseményszolgáltatójától. Figyelje meg, hogy az eseménynek két formátuma van.
A 0-s verzióban az IsMachine mező logikai érték. Az 1. verzióban az IsMachine mező egy aláíratlan egész szám.
(Get-WinEvent -ListProvider Microsoft-Windows-GroupPolicy).Events | Where-Object Id -eq 8007
Id : 8007
Version : 0
LogLink : System.Diagnostics.Eventing.Reader.EventLogLink
Level : System.Diagnostics.Eventing.Reader.EventLevel
Opcode : System.Diagnostics.Eventing.Reader.EventOpcode
Task : System.Diagnostics.Eventing.Reader.EventTask
Keywords : {}
Template : <template xmlns="http://schemas.microsoft.com/win/2004/08/events">
<data name="PolicyElaspedTimeInSeconds" inType="win:UInt32" outType="xs:unsignedInt"/>
<data name="ErrorCode" inType="win:UInt32" outType="win:HexInt32"/>
<data name="PrincipalSamName" inType="win:UnicodeString" outType="xs:string"/>
<data name="IsMachine" inType="win:Boolean" outType="xs:boolean"/>
<data name="IsConnectivityFailure" inType="win:Boolean" outType="xs:boolean"/>
</template>
Description : Completed periodic policy processing for user %3 in %1 seconds.
Id : 8007
Version : 1
LogLink : System.Diagnostics.Eventing.Reader.EventLogLink
Level : System.Diagnostics.Eventing.Reader.EventLevel
Opcode : System.Diagnostics.Eventing.Reader.EventOpcode
Task : System.Diagnostics.Eventing.Reader.EventTask
Keywords : {}
Template : <template xmlns="http://schemas.microsoft.com/win/2004/08/events">
<data name="PolicyElaspedTimeInSeconds" inType="win:UInt32" outType="xs:unsignedInt"/>
<data name="ErrorCode" inType="win:UInt32" outType="win:HexInt32"/>
<data name="PrincipalSamName" inType="win:UnicodeString" outType="xs:string"/>
<data name="IsMachine" inType="win:UInt32" outType="xs:unsignedInt"/>
<data name="IsConnectivityFailure" inType="win:Boolean" outType="xs:boolean"/>
</template>
Description : Completed periodic policy processing for user %3 in %1 seconds.
A Leírás tulajdonság az eseménynaplóba írt üzenetet tartalmazza. Az %3
és %1
az érték a sablonba átadott értékek helyőrzői. A %3
sztring helyébe a PrincipalSamName mezőnek átadott érték lép. A %1
sztring helyébe a PolicyElaspedTimeInSeconds mezőnek átadott érték lép.
3. példa – Új esemény létrehozása verziószámozott sablonnal
Ez a példa bemutatja, hogyan hozhat létre eseményt egy adott sablonverzióval.
$Payload = @(300, [uint32]'0x8001011f', $env:USERNAME, 0, 1)
New-WinEvent -ProviderName Microsoft-Windows-GroupPolicy -Id 8007 -Version 1 -Payload $Payload
Get-winEvent -ProviderName Microsoft-Windows-GroupPolicy -MaxEvents 1
ProviderName: Microsoft-Windows-GroupPolicy
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
5/4/2022 8:40:24 AM 8007 Information Completed periodic policy processing for user User1 in 300 seconds
Ha a hasznos adatok értékei nem egyeznek a sablonban szereplő típusokkal, a rendszer naplózza az eseményt, de a hasznos adatok hibát tartalmaznak.
Paraméterek
-Id
Az eseményszolgáltatóban regisztrált eseményazonosítót adja meg.
Type: | Int32 |
Position: | 1 |
Default value: | None |
Required: | True |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-Payload
A hasznos adat az eseménysablonnak helyargumentumként átadott értékek tömbje. Az értékek be lesznek szúrva a sablonba az esemény üzenetének létrehozásához. Az események több sablonverzióval is rendelkezhetnek, amelyek különböző formátumokat használnak.
Ha a hasznos adatok értékei nem egyeznek a sablonban szereplő típusokkal, a rendszer naplózza az eseményt, de a hasznos adatok hibát tartalmaznak.
Type: | Object[] |
Position: | 2 |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ProviderName
Megadja azt az eseményszolgáltatót, amely egy eseménynaplóba írja az eseményt, például a "Microsoft-Windows-PowerShell". Az ETW-eseményszolgáltató egy logikai entitás, amely eseményeket ír az ETW-munkamenetekbe.
Type: | String |
Position: | 0 |
Default value: | None |
Required: | True |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-Version
Az esemény verziószámát adja meg. A PowerShell a számot a szükséges bájttípussá alakítja. Az érték az esemény verzióját adja meg, ha ugyanazon esemény különböző verziói vannak definiálva.
Type: | Byte |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Bevitelek
None
Ehhez a parancsmaghoz nem lehet objektumokat csövezni.
Kimenetek
None
Ez a parancsmag nem ad vissza kimenetet.
Jegyzetek
Miután a szolgáltató egy eseménynaplóba írja az eseményt, a Get-WinEvent
parancsmaggal lekérheti az eseményt az eseménynaplóból.
Kapcsolódó hivatkozások
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: