发表更新powershell / tip20 分钟读完 (大约3009个字)

PowerShell 技能连载 - 可观测性与分布式追踪

适用于 PowerShell 7.0 及以上版本

在现代运维和 DevOps 实践中,可观测性(Observability)已成为系统可靠性的基石。与传统的被动监控不同,可观测性强调从系统外部输出推断内部状态的能力,其核心由三大支柱构成:日志(Logging)记录离散事件、指标(Metrics)量化系统状态、追踪(Tracing)串联请求链路。当 PowerShell 脚本从简单的自动化任务演进为跨系统编排工具时,缺乏可观测性就意味着排障时如同大海捞针。

在云原生环境中,一个运维操作可能横跨多个子系统:先调用 Azure API 获取资源列表,再通过 SSH 配置远程服务器,最后更新 CMDB 数据库。如果其中某个环节失败,仅凭零散的 Write-Host 输出几乎无法定位根因。通过引入结构化日志、指标采集和分布式追踪,我们可以为每条执行链路建立完整的”数字指纹”,让问题排查从猜测变为精确诊断。

本文将从三个层面逐步构建 PowerShell 脚本的可观测性体系:首先搭建统一的日志框架,确保所有脚本输出格式一致且可检索;然后实现性能指标采集,量化脚本的资源消耗与执行效率;最后引入分布式追踪机制,打通跨脚本、跨进程的调用链路。

结构化日志框架

良好的日志系统是可观测性的起点。与随意使用 Write-Host 不同,结构化日志要求每条日志都包含时间戳、级别、消息体和上下文信息,并以 JSON 格式输出,便于后续被 ELK、Splunk 或 Azure Log Analytics 等平台直接消费。

以下代码构建了一个轻量级的结构化日志模块,支持多级别控制、上下文注入和双通道输出(控制台 + 文件):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
# 构建结构化日志框架
enum LogLevel {
    Debug = 0
    Information = 1
    Warning = 2
    Error = 3
    Critical = 4
}

function New-StructuredLogger {
    [CmdletBinding()]
    param(
        [Parameter(Mandatory)]
        [string]$LogName,

        [string]$LogDirectory = './logs',

        [LogLevel]$MinimumLevel = [LogLevel]::Information,

        [hashtable]$DefaultContext = @{}
    )

    # 确保日志目录存在
    if (-not (Test-Path $LogDirectory)) {
        New-Item -ItemType Directory -Path $LogDirectory -Force | Out-Null
    }

    $logFile = Join-Path $LogDirectory "$LogName-$(Get-Date -Format 'yyyyMMdd').json"

    # 返回日志记录器对象
    [PSCustomObject]@{
        Name          = $LogName
        LogFile       = $logFile
        MinimumLevel  = $MinimumLevel
        DefaultContext = $DefaultContext
    } | Add-Member -MemberType ScriptMethod -Name 'Write' -Value {
        param(
            [LogLevel]$Level,
            [string]$Message,
            [hashtable]$AdditionalContext = @{},
            [System.Management.Automation.ErrorRecord]$ErrorRecord = $null
        )

        # 级别过滤
        if ($Level -lt $this.MinimumLevel) { return }

        $entry = [ordered]@{
            timestamp  = (Get-Date).ToString('o')
            level      = $Level.ToString()
            logger     = $this.Name
            message    = $Message
            context    = [ordered]@{}
        }

        # 合并默认上下文和附加上下文
        foreach ($key in $this.DefaultContext.Keys) {
            $entry.context[$key] = $this.DefaultContext[$key]
        }
        foreach ($key in $AdditionalContext.Keys) {
            $entry.context[$key] = $AdditionalContext[$key]
        }

        # 异常信息
        if ($ErrorRecord) {
            $entry.exception = @{
                type       = $ErrorRecord.Exception.GetType().FullName
                message    = $ErrorRecord.Exception.Message
                stackTrace = $ErrorRecord.ScriptStackTrace
            }
        }

        $jsonLine = $entry | ConvertTo-Json -Depth 5 -Compress

        # 写入文件
        $jsonLine | Out-File -FilePath $this.LogFile -Append -Encoding utf8

        # 控制台着色输出
        $color = switch ($Level) {
            ([LogLevel]::Debug)       { 'Gray' }
            ([LogLevel]::Information) { 'White' }
            ([LogLevel]::Warning)     { 'Yellow' }
            ([LogLevel]::Error)       { 'Red' }
            ([LogLevel]::Critical)    { 'Magenta' }
            default                   { 'White' }
        }
        Write-Host "[$($Level.ToString().ToUpper())] $Message" -ForegroundColor $color
    } -Force -PassThru
}

# 创建日志记录器实例
$logger = New-StructuredLogger `
    -LogName 'deployment-pipeline' `
    -MinimumLevel ([LogLevel]::Debug) `
    -DefaultContext @{ environment = 'production'; host = $env:COMPUTERNAME }

# 记录不同级别的日志
$logger.Write([LogLevel]::Information, '开始部署流程', @{ version = '2.4.1' })
$logger.Write([LogLevel]::Debug, '加载配置文件', @{ configPath = '/etc/app/config.yaml' })
$logger.Write([LogLevel]::Warning, '检测到内存使用率偏高', @{ memoryUsage = '82%' })

# 模拟一个异常场景
try {
    throw '数据库连接超时'
} catch {
    $logger.Write([LogLevel]::Error, '部署流程中断', @{ step = 'database-migration' }, $_)
}

执行结果示例:

1
2
3
4
[INFORMATION] 开始部署流程
[DEBUG] 加载配置文件
[WARNING] 检测到内存使用率偏高
[ERROR] 部署流程中断

每条日志以 JSON Lines 格式追加到文件中,可被日志平台直接索引。DefaultContext 参数允许注入环境名、主机名等全局上下文,避免在每条日志中重复传递。通过调整 MinimumLevel,可以在生产环境中过滤掉 Debug 级别的日志,减少存储开销。

性能指标采集

指标是可观测性的量化核心。与日志不同,指标关注的是可聚合的数值数据,如执行时长、内存增量、API 调用次数等。以下代码实现了一个轻量级的指标采集器,支持计数器、计时器和仪表盘三种度量类型:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
# 性能指标采集器
function New-MetricsCollector {
    [CmdletBinding()]
    param(
        [string]$ServiceName = 'powershell-script',
        [string]$OutputPath = './metrics'
    )

    if (-not (Test-Path $OutputPath)) {
        New-Item -ItemType Directory -Path $OutputPath -Force | Out-Null
    }

    $metrics = [System.Collections.Concurrent.ConcurrentDictionary[string, PSObject]]::new()

    $collector = [PSCustomObject]@{
        ServiceName = $ServiceName
        StartTime   = Get-Date
        OutputPath  = $OutputPath
    }

    # 计数器:递增统计
    $collector | Add-Member -MemberType ScriptMethod -Name 'Increment' -Value {
        param([string]$MetricName, [int64]$Value = 1, [hashtable]$Tags = @{})

        $now = [DateTimeOffset]::UtcNow.ToUnixTimeMilliseconds()
        $metrics.AddOrUpdate(
            $MetricName,
            { [PSCustomObject]@{ type = 'counter'; value = $Value; tags = $Tags; updatedAt = $now } },
            { param($key, $existing)
              $existing.value += $Value
              $existing.updatedAt = $now
              $existing
            }
        )
    } -Force

    # 计时器:测量执行时长
    $collector | Add-Member -MemberType ScriptMethod -Name 'Measure' -Value {
        param(
            [string]$MetricName,
            [scriptblock]$Action,
            [hashtable]$Tags = @{}
        )

        $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
        $result = & $Action
        $stopwatch.Stop()

        $now = [DateTimeOffset]::UtcNow.ToUnixTimeMilliseconds()
        $metric = [PSCustomObject]@{
            type      = 'timer'
            value     = $stopwatch.ElapsedMilliseconds
            unit      = 'ms'
            tags      = $Tags
            updatedAt = $now
        }
        $metrics[$MetricName] = $metric

        $result
    } -Force

    # 仪表盘:记录当前值
    $collector | Add-Member -MemberType ScriptMethod -Name 'Gauge' -Value {
        param([string]$MetricName, [double]$Value, [string]$Unit = '', [hashtable]$Tags = @{})

        $now = [DateTimeOffset]::UtcNow.ToUnixTimeMilliseconds()
        $metrics[$MetricName] = [PSCustomObject]@{
            type      = 'gauge'
            value     = $Value
            unit      = $Unit
            tags      = $Tags
            updatedAt = $now
        }
    } -Force

    # 导出为 OpenTelemetry 兼容格式
    $collector | Add-Member -MemberType ScriptMethod -Name 'Export' -Value {
        $timestamp = Get-Date -Format 'yyyyMMdd-HHmmss'
        $exportFile = Join-Path $this.OutputPath "$($this.ServiceName)-metrics-$timestamp.json"

        $exportData = @{
            resource = @{
                'service.name' = $this.ServiceName
                'service.version' = '1.0.0'
                'host.name' = $env:COMPUTERNAME
            }
            scopeMetrics = @(
                @{
                    scope = @{ name = 'powershell-metrics' }
                    metrics = @()
                }
            )
            timestamp = (Get-Date).ToString('o')
        }

        foreach ($key in $metrics.Keys) {
            $m = $metrics[$key]
            $metricEntry = [ordered]@{
                name  = $key
                type  = $m.type
                value = $m.value
            }
            if ($m.unit) { $metricEntry.unit = $m.unit }
            if ($m.tags.Count -gt 0) { $metricEntry.tags = $m.tags }
            $exportData.scopeMetrics[0].metrics += $metricEntry
        }

        $exportData | ConvertTo-Json -Depth 5 | Out-File -FilePath $exportFile -Encoding utf8
        Write-Host "指标已导出到:$exportFile"
        Write-Host "共采集 $($metrics.Count) 项指标"
    } -Force

    $collector
}

# 使用示例:采集脚本执行的各项指标
$metrics = New-MetricsCollector -ServiceName 'backup-job'

# 计数器:统计处理的文件数量
1..10 | ForEach-Object { $metrics.Increment('files.processed') }
$metrics.Increment('errors.total', 2)

# 计时器:测量数据库备份耗时
$dbBackupTime = $metrics.Measure('db.backup.duration', {
    Start-Sleep -Milliseconds 150
    'backup completed'
}, @{ database = 'app_db' })

# 计时器:测量文件上传耗时
$metrics.Measure('upload.duration', {
    Start-Sleep -Milliseconds 80
}, @{ destination = 'azure-blob' })

# 仪表盘:记录当前内存使用
$mem = [System.GC]::GetTotalMemory($false)
$metrics.Gauge('memory.usage.bytes', $mem, 'bytes')
$metrics.Gauge('disk.free.percent', 67.3, 'percent', @{ drive = 'C:' })

# 导出所有指标
$metrics.Export()

执行结果示例:

1
2
指标已导出到:./metrics/backup-job-metrics-20260410-080000.json
共采集 5 项指标

导出的 JSON 遵循 OpenTelemetry 的资源-作用域-指标层级结构,可以被 Prometheus、Grafana 或 Jaeger 等工具链直接消费。Measure 方法使用 System.Diagnostics.Stopwatch 提供毫秒级精度的计时,适用于需要精确度量的 I/O 操作和 API 调用场景。

分布式追踪实现

分布式追踪是可观测性三大支柱中最复杂但也最有价值的部分。一个 Trace 由多个 Span 组成,每个 Span 代表一个操作单元。当 PowerShell 脚本编排多个外部系统调用时,通过 Span 和 Trace ID 将它们串联起来,就能在 Jaeger 或 Zipkin 中看到完整的调用拓扑。

以下代码实现了一个兼容 OpenTelemetry 概念的追踪框架,支持嵌套 Span、上下文传播和 OTLP 格式导出:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
# 分布式追踪实现
function New-TraceContext {
    [CmdletBinding()]
    param(
        [string]$TraceId = (1..32 | ForEach-Object { '{0:x}' -f (Get-Random -Maximum 16) }) -join '',
        [string]$ParentSpanId = $null
    )

    $spanId = (1..16 | ForEach-Object { '{0:x}' -f (Get-Random -Maximum 16) }) -join ''

    [PSCustomObject]@{
        traceId       = $TraceId
        spanId        = $spanId
        parentSpanId  = $ParentSpanId
        startTime     = [DateTimeOffset]::UtcTime
        attributes    = [ordered]@{}
        events        = [System.Collections.Generic.List[PSObject]]::new()
        status        = 'OK'
    }
}

function New-Tracer {
    [CmdletBinding()]
    param(
        [Parameter(Mandatory)]
        [string]$ServiceName,

        [string]$ExporterPath = './traces'
    )

    if (-not (Test-Path $ExporterPath)) {
        New-Item -ItemType Directory -Path $ExporterPath -Force | Out-Null
    }

    # Span 栈:支持嵌套调用
    $spanStack = [System.Collections.Stack]::new()
    $completedSpans = [System.Collections.Generic.List[PSObject]]::new()

    $tracer = [PSCustomObject]@{
        ServiceName  = $ServiceName
        ExporterPath = $ExporterPath
    }

    # 开始一个新的 Span
    $tracer | Add-Member -MemberType ScriptMethod -Name 'StartSpan' -Value {
        param(
            [string]$Name,
            [hashtable]$Attributes = @{}
        )

        $parentSpanId = if ($spanStack.Count -gt 0) { $spanStack.Peek().spanId } else { $null }
        $traceId = if ($spanStack.Count -gt 0) { $spanStack.Peek().traceId } else { $null }

        $span = New-TraceContext -TraceId $traceId -ParentSpanId $parentSpanId
        $span | Add-Member -MemberType NoteProperty -Name 'name' -Value $Name

        foreach ($key in $Attributes.Keys) {
            $span.attributes[$key] = $Attributes[$key]
        }

        # 注入系统信息
        $span.attributes['service.name'] = $this.ServiceName
        $span.attributes['host.name'] = $env:COMPUTERNAME

        $spanStack.Push($span)
        $span
    } -Force

    # 添加事件到当前 Span
    $tracer | Add-Member -MemberType ScriptMethod -Name 'AddEvent' -Value {
        param([string]$EventName, [hashtable]$Attributes = @{})

        if ($spanStack.Count -eq 0) {
            Write-Warning '没有活跃的 Span,无法添加事件'
            return
        }

        $currentSpan = $spanStack.Peek()
        $currentSpan.events.Add([PSCustomObject]@{
            name       = $EventName
            timestamp  = [DateTimeOffset]::UtcTime.ToString('o')
            attributes = $Attributes
        })
    } -Force

    # 结束当前 Span
    $tracer | Add-Member -MemberType ScriptMethod -Name 'EndSpan' -Value {
        param([string]$Status = 'OK')

        if ($spanStack.Count -eq 0) {
            Write-Warning '没有活跃的 Span 可以结束'
            return
        }

        $span = $spanStack.Pop()
        $endTime = [DateTimeOffset]::UtcTime
        $duration = ($endTime - $span.startTime).TotalMilliseconds

        $span.status = $Status

        $completedSpan = [ordered]@{
            traceId      = $span.traceId
            spanId       = $span.spanId
            parentSpanId = $span.parentSpanId
            name         = $span.name
            startTime    = $span.startTime.ToString('o')
            endTime      = $endTime.ToString('o')
            durationMs   = [math]::Round($duration, 2)
            status       = $span.status
            attributes   = $span.attributes
            events       = $span.events.ToArray()
            resource     = [ordered]@{
                'service.name'    = $this.ServiceName
                'service.version' = '1.0.0'
                'telemetry.sdk.name' = 'powershell-custom'
            }
        }

        $completedSpans.Add($completedSpan)
        $completedSpan
    } -Force

    # 导出为 OTLP JSON 格式
    $tracer | Add-Member -MemberType ScriptMethod -Name 'Export' -Value {
        $timestamp = Get-Date -Format 'yyyyMMdd-HHmmss'
        $exportFile = Join-Path $this.ExporterPath "$($this.ServiceName)-trace-$timestamp.json"

        $otlpExport = @{
            resourceSpans = @(
                @{
                    resource = @{
                        attributes = @(
                            @{ key = 'service.name'; value = @{ stringValue = $this.ServiceName } }
                        )
                    }
                    scopeSpans = @(
                        @{
                            scope = @{ name = 'powershell-tracer' }
                            spans = $completedSpans
                        }
                    )
                }
            )
        }

        $otlpExport | ConvertTo-Json -Depth 8 | Out-File -FilePath $exportFile -Encoding utf8
        Write-Host "追踪数据已导出到:$exportFile"
        Write-Host "共记录 $($completedSpans.Count) 个 Span"

        # 输出调用链摘要
        Write-Host "`n--- 调用链摘要 ---"
        foreach ($s in $completedSpans) {
            $indent = if ($s.parentSpanId) { '  ' } else { '' }
            Write-Host "$indent[$($s.status)] $($s.name) - $($s.durationMs)ms"
        }
    } -Force

    $tracer
}

# 模拟一个完整的多层调用链
$tracer = New-Tracer -ServiceName 'deployment-pipeline'

# 根 Span:整个部署流程
$rootSpan = $tracer.StartSpan('deploy.release', @{ version = '2.4.1'; environment = 'production' })

  # 子 Span 1:拉取代码
  $pullSpan = $tracer.StartSpan('git.pull', @{ repository = 'app-service' })
  Start-Sleep -Milliseconds 50
  $tracer.AddEvent('checkout_complete', @{ branch = 'main'; commit = 'a1b2c3d' })
  $tracer.EndSpan()

  # 子 Span 2:运行测试
  $testSpan = $tracer.StartSpan('test.run', @{ framework = 'pytest' })
  $tracer.AddEvent('test_started', @{ totalTests = 142 })
  Start-Sleep -Milliseconds 120

  # 孙 Span:代码覆盖率分析
  $coverageSpan = $tracer.StartSpan('test.coverage', @{ threshold = '80%' })
  Start-Sleep -Milliseconds 30
  $tracer.AddEvent('coverage_calculated', @{ lineCoverage = '87.3%'; branchCoverage = '82.1%' })
  $coverageResult = $tracer.EndSpan()

  $tracer.AddEvent('test_completed', @{ passed = 140; failed = 2 })
  $testResult = $tracer.EndSpan()

  # 子 Span 3:部署到生产
  $deploySpan = $tracer.StartSpan('deploy.push', @{ target = 'k8s-cluster-01' })
  $tracer.AddEvent('rolling_update_started', @{ replicas = 3 })
  Start-Sleep -Milliseconds 80
  $tracer.AddEvent('health_check_passed')
  $deployResult = $tracer.EndSpan()

# 结束根 Span
$tracer.EndSpan()

# 导出追踪数据
$tracer.Export()

执行结果示例:

1
2
3
4
5
6
7
8
9
追踪数据已导出到:./traces/deployment-pipeline-trace-20260410-080000.json
共记录 5 个 Span

--- 调用链摘要 ---
[OK] deploy.release - 284.37ms
  [OK] git.pull - 52.14ms
  [OK] test.run - 153.89ms
  [OK] test.coverage - 33.27ms
  [OK] deploy.push - 83.41ms

通过 spanStack 实现的嵌套机制,子 Span 自动继承父 Span 的 traceIdspanId,形成完整的调用树。导出格式兼容 OTLP JSON,可以直接发送到 OpenTelemetry Collector,再由 Collector 转发到 Jaeger、Zipkin 或 Tempo 等后端进行可视化分析。

注意事项

  1. 日志级别与环境匹配:开发环境建议将 MinimumLevel 设为 Debug,生产环境至少设为 Information。过于详细的日志在生产环境会产生大量 I/O 开销,尤其是在高频循环中记录日志时需格外谨慎。

  2. JSON 序列化深度ConvertTo-Json 默认深度仅为 2,嵌套的 hashtablePSCustomObject 会被截断为字符串。在日志和指标导出中务必指定 -Depth 5 或更高,否则结构化数据会丢失。

  3. Trace ID 的唯一性:示例中使用 Get-Random 生成 Trace/Span ID 仅供演示,生产环境建议使用 [guid]::NewGuid().ToString('N') 或基于时间戳的确定性算法,确保全局唯一性。

  4. 大对象内存压力:长时间运行的脚本中,$completedSpans 列表可能累积大量数据。建议设置导出阈值(如每 1000 个 Span 自动导出并清空),或在 EndSpan 时直接流式写入文件,避免内存持续增长。

  5. 线程安全考量ConcurrentDictionary 用于指标存储是线程安全的,但 Span 的栈操作(Push/Pop)不是。如果你的脚本使用 ForEach-Object -Parallel,每个 runspace 应拥有独立的 Tracer 实例,最后再合并导出。

  6. 与 OpenTelemetry Collector 集成:生产环境中,建议将导出的 JSON 文件通过 Filelog Receiver 或 HTTP Receiver 发送到 OpenTelemetry Collector,由 Collector 统一处理采样、批处理和路由,而不是让每个脚本直接对接后端存储。

发表更新powershell / tip14 分钟读完 (大约2076个字)

PowerShell 技能连载 - 日志分析与取证

适用于 PowerShell 5.1 及以上版本

日志是系统运维和安全取证的基石。Windows 事件日志、IIS 日志、应用程序日志中隐藏着故障根因和安全威胁的关键线索。当系统出现异常行为或发生安全事件时,快速定位和分析日志数据是响应的第一步。

传统的日志分析往往依赖图形界面的事件查看器或第三方 SIEM 工具,但它们在面对大规模日志数据或需要自定义分析逻辑时显得力不从心。PowerShell 提供了 Get-WinEventGet-EventLog(旧版)以及强大的对象管道,让我们能够以脚本化的方式高效收集、过滤、关联和可视化日志数据。

本文将从三个层面展开:首先是 Windows 安全事件日志的审计分析,其次是跨日志源的关联与异常检测,最后是自动化取证报告的生成。掌握这些技能后,你可以在安全事件响应、合规审计和故障排查中大幅提升效率。

Windows 事件日志审计

Windows 安全日志是取证分析的首要数据源。以下脚本演示了如何批量提取登录失败事件、追踪特权使用情况,并按频率统计可疑账户。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
# 定义分析时间范围
$StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date

# 提取安全日志中的登录失败事件(Event ID 4625)
$LoginFailures = Get-WinEvent -FilterHashtable @{
    LogName   = 'Security'
    Id        = 4625
    StartTime = $StartTime
    EndTime   = $EndTime
} -ErrorAction SilentlyContinue | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $targetUser = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq 'TargetUserName' }).'#text'
    $sourceIP = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq 'IpAddress' }).'#text'
    $logonType = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq 'LogonType' }).'#text'

    [PSCustomObject]@{
        Time     = $_.TimeCreated
        User     = $targetUser
        SourceIP = $sourceIP
        LogonType = $logonType
    }
}

# 统计失败登录次数最多的账户
$LoginFailures | Group-Object User |
    Sort-Object Count -Descending |
    Select-Object Count, Name -First 10 |
    Format-Table -AutoSize

# 提取特权使用事件(Event ID 4672)
$PrivilegeUse = Get-WinEvent -FilterHashtable @{
    LogName   = 'Security'
    Id        = 4672
    StartTime = $StartTime
    EndTime   = $EndTime
} -ErrorAction SilentlyContinue | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $subjectUser = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq 'SubjectUserName' }).'#text'
    $privileges = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq 'PrivilegeList' }).'#text'

    [PSCustomObject]@{
        Time       = $_.TimeCreated
        Account    = $subjectUser
        Privileges = $privileges
    }
}

# 输出特权使用摘要
$PrivilegeUse | Group-Object Account |
    Select-Object Count, Name |
    Sort-Object Count -Descending |
    Format-Table -AutoSize

执行结果示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
Count Name
----- ----
   47 Administrator
   12 backupsvc
    8 testuser
    3 jdoe
    1 LOCAL SERVICE

Count Name
----- ----
  156 Administrator
   23 SYSTEM
    8 backupsvc
    2 NETWORK SERVICE

从结果可以看到 Administrator 账户在一周内有 47 次登录失败,值得进一步调查。同时特权使用频率也显示该账户活动异常频繁。

日志关联与异常检测

单一日志源往往无法呈现完整的安全图景。以下脚本展示如何将安全日志、系统日志和 PowerShell 脚本块日志进行关联,建立时间线并检测统计异常。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
# 收集多日志源数据并建立统一时间线
$TimeRange = @{
    StartTime = (Get-Date).AddDays(-3)
    EndTime   = Get-Date
}

# 安全日志:账户管理变更(Event ID 4720 创建、4726 删除、4728 加入管理员组)
$AccountChanges = Get-WinEvent -FilterHashtable @{
    LogName = 'Security'; Id = 4720, 4726, 4728; @TimeRange
} -ErrorAction SilentlyContinue | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $targetAccount = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq 'TargetUserName' }).'#text'
    [PSCustomObject]@{
        Time   = $_.TimeCreated
        Source = 'Security'
        Event  = "AccountChange($($_.Id))"
        Detail = $targetAccount
    }
}

# 系统日志:服务安装和驱动加载
$SystemEvents = Get-WinEvent -FilterHashtable @{
    LogName = 'System'; Id = 7045, 7036; @TimeRange
} -ErrorAction SilentlyContinue | ForEach-Object {
    [PSCustomObject]@{
        Time   = $_.TimeCreated
        Source = 'System'
        Event  = if ($_.Id -eq 7045) { 'NewService' } else { 'ServiceStateChange' }
        Detail = $_.Message.Substring(0, [Math]::Min(80, $_.Message.Length))
    }
}

# PowerShell 脚本块日志(Event ID 4104)
$PSLogs = Get-WinEvent -FilterHashtable @{
    LogName = 'Microsoft-Windows-PowerShell/Operational'; Id = 4104; @TimeRange
} -ErrorAction SilentlyContinue | ForEach-Object {
    [PSCustomObject]@{
        Time   = $_.TimeCreated
        Source = 'PowerShell'
        Event  = 'ScriptBlock'
        Detail = $_.Message.Substring(0, [Math]::Min(80, $_.Message.Length))
    }
}

# 合并时间线并按时间排序
$Timeline = $AccountChanges + $SystemEvents + $PSLogs |
    Sort-Object Time |
    Select-Object Time, Source, Event, Detail

# 显示最近 20 条时间线事件
$Timeline | Select-Object -Last 20 | Format-Table -Wrap

# 统计异常检测:每小时事件数量,标记超过 2 个标准差的时间段
$HourlyStats = $Timeline | Group-Object { $_.Time.ToString('yyyy-MM-dd HH:00') } |
    ForEach-Object { [PSCustomObject]@{ Hour = $_.Name; Count = $_.Count } }

$Mean = ($HourlyStats | Measure-Object Count -Average).Average
$StdDev = [Math]::Sqrt(
    ($HourlyStats | ForEach-Object { [Math]::Pow($_.Count - $Mean, 2) } | Measure-Object -Average).Average
)

$HourlyStats | ForEach-Object {
    $isAnomaly = $_.Count -gt ($Mean + 2 * $StdDev)
    [PSCustomObject]@{
        Hour    = $_.Hour
        Count   = $_.Count
        Anomaly = if ($isAnomaly) { '*** ALERT ***' } else { '' }
    }
} | Format-Table -AutoSize

执行结果示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Time                  Source    Event              Detail
----                  ------    -----              ------
2026-01-25 14:22:01   Security  AccountChange(4720) svc-backup
2026-01-25 14:22:05   System    NewService         A service was installed in the system....
2026-01-25 14:23:10   PowerShell ScriptBlock        Invoke-WebRequest -Uri http://10.0.0.5/...
2026-01-25 15:01:33   Security  AccountChange(4728) svc-backup
2026-01-25 16:45:12   System    ServiceStateChange The Background Intelligent Transfer Ser...

Hour            Count Anomaly
----            ----- -------
2026-01-23 08   34
2026-01-23 09   41
2026-01-23 10   28
2026-01-24 02   112  *** ALERT ***
2026-01-24 03   98   *** ALERT ***
2026-01-24 09   37
2026-01-25 14   67   *** ALERT ***

凌晨 2 点和 3 点的事件量远高于平均水平,这在正常业务场景中极其可疑,需要重点排查该时间段的所有活动。

取证报告生成

分析完成后,生成结构化的取证报告是交付成果的关键步骤。以下脚本将分析结果整理为包含时间线、IOC 提取和可视化汇总的 HTML 报告。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
# 定义报告参数
$ReportPath = "$env:TEMP\ForensicReport_$(Get-Date -Format 'yyyyMMdd_HHmmss').html"
$AnalysisPeriod = "$((Get-Date).AddDays(-7).ToString('yyyy-MM-dd')) 至 $((Get-Date).ToString('yyyy-MM-dd'))"

# 收集关键 IOC(Indicators of Compromise)
$SuspiciousIPs = $LoginFailures |
    Where-Object { $_.SourceIP -and $_.SourceIP -ne '-' -and $_.SourceIP -ne '::1' } |
    Group-Object SourceIP |
    Where-Object { $_.Count -gt 5 } |
    Select-Object @{N = 'Indicator'; E = { $_.Name } }, @{N = 'Occurrences'; E = { $_.Count } }

$SuspiciousAccounts = $LoginFailures |
    Group-Object User |
    Where-Object { $_.Count -gt 10 } |
    Select-Object @{N = 'Indicator'; E = { "Account: $($_.Name)" } }, @{N = 'Occurrences'; E = { $_.Count } }

$AllIOCs = $SuspiciousIPs + $SuspiciousAccounts

# 生成 HTML 报告
$HtmlHeader = @"
<!DOCTYPE html>
<html lang="zh-CN">
<head>
<meta charset="UTF-8">
<title>取证分析报告 - $AnalysisPeriod</title>
<style>
body { font-family: 'Segoe UI', sans-serif; margin: 20px; background: #f5f5f5; }
h1 { color: #d32f2f; border-bottom: 2px solid #d32f2f; padding-bottom: 8px; }
h2 { color: #1565c0; margin-top: 24px; }
table { border-collapse: collapse; width: 100%; margin: 12px 0; background: #fff; }
th { background: #1565c0; color: #fff; padding: 8px 12px; text-align: left; }
td { padding: 8px 12px; border-bottom: 1px solid #ddd; }
tr:nth-child(even) { background: #f9f9f9; }
.alert { color: #d32f2f; font-weight: bold; }
.summary { background: #fff; padding: 16px; border-radius: 4px; margin: 12px 0; }
</style>
</head>
<body>
<h1>取证分析报告</h1>
<div class="summary">
<strong>分析周期:</strong>$AnalysisPeriod<br>
<strong>生成时间:</strong>$(Get-Date -Format 'yyyy-MM-dd HH:mm:ss')<br>
<strong>登录失败事件:</strong>$($LoginFailures.Count) 条<br>
<strong>异常时段:</strong>$($HourlyStats | Where-Object { $_.Count -gt ($Mean + 2 * $StdDev) }).Count) 个
</div>
"@

# 构建 IOC 表格
$IocTable = $AllIOCs | ForEach-Object {
    "<tr><td>$($_.Indicator)</td><td>$($_.Occurrences)</td></tr>"
} | Out-String

$HtmlBody = @"
<h2>威胁指标 (IOCs)</h2>
<table><tr><th>指标</th><th>出现次数</th></tr>$IocTable</table>

<h2>时间线摘要(最近事件)</h2>
<table><tr><th>时间</th><th>来源</th><th>事件</th></tr>
$(
    $Timeline | Select-Object -Last 15 | ForEach-Object {
        "<tr><td>$($_.Time.ToString('yyyy-MM-dd HH:mm:ss'))</td><td>$($_.Source)</td><td>$($_.Event)</td></tr>"
    } | Out-String
)
</table>

<h2>统计概览</h2>
<p>每小时平均事件数:<strong>$([Math]::Round($Mean, 1))</strong></p>
<p>标准差:<strong>$([Math]::Round($StdDev, 1))</strong></p>
<p>异常阈值(Mean + 2*Sigma):<strong>$([Math]::Round($Mean + 2 * $StdDev, 1))</strong></p>
</body></html>
"@

$HtmlHeader + $HtmlBody | Out-File -FilePath $ReportPath -Encoding UTF8
Write-Host "取证报告已生成:$ReportPath"

执行结果示例:

1
取证报告已生成:C:\Users\admin\AppData\Local\Temp\ForensicReport_20260126_103022.html

生成的 HTML 报告包含完整的威胁指标表格、时间线摘要和统计概览,可以直接在浏览器中打开查看,也可作为合规审计的附件存档。

注意事项

  1. 管理员权限要求:访问安全日志(Security Log)需要以管理员身份运行 PowerShell,普通用户只能查看应用程序和系统日志。建议使用 Start-Process powershell -Verb RunAs 提权后执行分析脚本。

  2. 日志大小与性能Get-WinEvent 在处理大量日志时可能消耗较多内存。对于跨月或跨年的分析,建议分批查询或使用 -MaxEvents 参数限制返回数量,避免内存溢出。

  3. 时间同步的重要性:跨服务器的日志关联分析要求所有机器的时钟保持同步(NTP)。如果时间偏差超过数秒,关联结果可能不准确,建议先验证各机器的时区和时间同步状态。

  4. 日志保留策略:Windows 默认的安全日志最大大小为 20MB,可能在繁忙环境中只保留数天数据。建议通过组策略将日志最大大小调整为 1GB 以上,并启用日志转发(Event Forwarding)集中存储。

  5. PowerShell 脚本块日志的隐私考量:脚本块日志(Event ID 4104)会记录执行的代码内容,可能包含密码等敏感信息。在取证环境中这是优势,但在日常运维中需注意合规要求,评估是否需要启用受保护事件日志(Protected Event Logging)。

  6. 报告存储与链式保管:取证报告应保存在不可篡改的存储介质上,记录哈希值(如 Get-FileHash 计算的 SHA256)以确保完整性。同时保留原始日志的导出副本(.evtx 文件),以满足法律证据链的要求。

发表更新powershell / tip19 分钟读完 (大约2872个字)

PowerShell 技能连载 - 结构化日志框架

适用于 PowerShell 5.1 及以上版本

在生产环境中管理 PowerShell 脚本时,Write-HostWrite-Output 这类简单输出方式很快就会暴露出不足:日志难以检索、无法按级别过滤、缺少上下文信息,更无法与 ELK、Splunk 等日志平台对接。当脚本数量增长到数十个、运行频率从手动变为定时任务时,缺乏结构化日志体系将成为运维效率的最大瓶颈。

结构化日志(Structured Logging)是解决这些问题的核心思路。它要求每条日志都携带固定格式的元数据——时间戳、级别、模块名、消息体以及自定义属性,并以 JSON 等机器可读格式输出。这样就能用 ConvertFrom-Json 在脚本内解析,也可以直接推送到日志平台进行全文检索和可视化分析。

本文将从零构建一个轻量但完整的结构化日志框架,涵盖日志级别控制、多目标输出(控制台 + 文件 + JSON 文件)、上下文自动注入、以及运行时的动态配置。

框架核心:日志条目数据结构

一切从定义日志条目的数据结构开始。我们用一个 PowerShell class 来承载每条日志的所有字段,确保输出格式始终一致。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
enum LogLevel {
    Debug
    Information
    Warning
    Error
    Critical
}

class LogEntry {
    [DateTime] $Timestamp
    [LogLevel] $Level
    [string] $Message
    [string] $Module
    [hashtable] $Properties
    [string] $CorrelationId

    LogEntry(
        [LogLevel] $Level,
        [string] $Message,
        [string] $Module,
        [hashtable] $Properties,
        [string] $CorrelationId
    ) {
        $this.Timestamp = Get-Date
        $this.Level = $Level
        $this.Message = $Message
        $this.Module = $Module
        $this.Properties = $Properties
        $this.CorrelationId = $CorrelationId
    }

    [hashtable] ToHashtable() {
        $ht = [ordered]@{
            timestamp      = $this.Timestamp.ToString('o')
            level          = $this.Level.ToString()
            module         = $this.Module
            message        = $this.Message
            correlationId  = $this.CorrelationId
        }
        foreach ($key in $this.Properties.Keys) {
            $ht[$key] = $this.Properties[$key]
        }
        return $ht
    }

    [string] ToJson() {
        return $this.ToHashtable() | ConvertTo-Json -Compress
    }
}

上面的代码定义了五个日志级别和一个 LogEntry 类。ToHashtable() 方法将日志转为有序哈希表,方便进一步处理;ToJson() 则输出紧凑的 JSON 字符串,可直接写入日志文件或发送到 HTTP 端点。注意这里使用 foreach 语句遍历属性字典,将自定义字段合并到输出中。

日志写入器:支持多目标输出

有了数据结构之后,需要实现写入器(Writer)来决定日志输出到哪里。下面定义三个写入器:控制台(带颜色)、纯文本文件、以及 JSON 文件。写入器通过注册机制挂载到框架中,运行时可动态增减。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
class LoggerConfig {
    [LogLevel] $MinimumLevel = [LogLevel]::Information
    [string] $LogDirectory = '.\logs'
    [string] $ApplicationName = 'PowerShellApp'
    [string] $CorrelationId = ''
    [System.Collections.Generic.List[scriptblock]] $Writers

    LoggerConfig() {
        $this.Writers = [System.Collections.Generic.List[scriptblock]]::new()
        if (-not $this.CorrelationId) {
            $this.CorrelationId = [guid]::NewGuid().ToString('N').Substring(0, 8)
        }
    }
}

function New-Logger {
    param(
        [LogLevel] $MinimumLevel = [LogLevel]::Information,
        [string] $LogDirectory = '.\logs',
        [string] $ApplicationName = 'PowerShellApp'
    )
    $config = [LoggerConfig]::new()
    $config.MinimumLevel = $MinimumLevel
    $config.LogDirectory = $LogDirectory
    $config.ApplicationName = $ApplicationName

    # 控制台写入器
    $config.Writers.Add({
        param($Entry)
        $colorMap = @{
            Debug       = 'DarkGray'
            Information = 'White'
            Warning     = 'Yellow'
            Error       = 'Red'
            Critical    = 'Magenta'
        }
        $color = $colorMap[$Entry.Level.ToString()]
        Write-Host -ForegroundColor $color (
            "[$($Entry.Timestamp.ToString('HH:mm:ss'))] " +
            "[$($Entry.Level)] [$($Entry.Module)] $($Entry.Message)"
        )
    }.GetNewClosure())

    # JSON 文件写入器
    $config.Writers.Add({
        param($Entry, $Config)
        $dir = $Config.LogDirectory
        if (-not (Test-Path $dir)) {
            New-Item -ItemType Directory -Path $dir -Force | Out-Null
        }
        $dateStr = (Get-Date).ToString('yyyyMMdd')
        $filePath = Join-Path $dir "$($Config.ApplicationName)-$dateStr.jsonl"
        $Entry.ToJson() | Add-Content -Path $filePath -Encoding UTF8
    }.GetNewClosure())

    return $config
}

这段代码的核心是 LoggerConfig 类:它保存全局配置(最低级别、日志目录、应用名称、关联 ID)和一个写入器列表。New-Logger 函数创建配置实例并默认注册两个写入器——控制台和 JSONL 文件。JSONL(JSON Lines)格式每行一条 JSON 记录,非常适合日志场景,追加写入效率高,读取时逐行 ConvertFrom-Json 即可。

发送日志与上下文注入

有了配置和写入器,现在实现发送日志的核心函数。它会自动过滤低于最低级别的消息,并注入运行时上下文。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
function Send-Log {
    param(
        [Parameter(Mandatory)]
        [LoggerConfig] $Config,

        [Parameter(Mandatory)]
        [LogLevel] $Level,

        [Parameter(Mandatory)]
        [string] $Message,

        [string] $Module = 'General',

        [hashtable] $Properties = @{}
    )

    # 级别过滤
    if ($Level -lt $Config.MinimumLevel) {
        return
    }

    # 自动注入上下文属性
    $Properties['host'] = $env:COMPUTERNAME
    $Properties['user'] = $env:USERNAME
    $Properties['psVersion'] = $PSVersionTable.PSVersion.ToString()

    $entry = [LogEntry]::new(
        $Level,
        $Message,
        $Module,
        $Properties,
        $Config.CorrelationId
    )

    foreach ($writer in $Config.Writers) {
        try {
            & $writer $entry $Config
        } catch {
            Write-Warning "日志写入器执行失败: $($_.Exception.Message)"
        }
    }
}

# 便捷函数
function Write-LogDebug {
    param([LoggerConfig] $Config, [string] $Message, [string] $Module = 'General', [hashtable] $Properties = @{})
    Send-Log -Config $Config -Level Debug -Message $Message -Module $Module -Properties $Properties
}

function Write-LogInfo {
    param([LoggerConfig] $Config, [string] $Message, [string] $Module = 'General', [hashtable] $Properties = @{})
    Send-Log -Config $Config -Level Information -Message $Message -Module $Module -Properties $Properties
}

function Write-LogWarning {
    param([LoggerConfig] $Config, [string] $Message, [string] $Module = 'General', [hashtable] $Properties = @{})
    Send-Log -Config $Config -Level Warning -Message $Message -Module $Module -Properties $Properties
}

function Write-LogError {
    param([LoggerConfig] $Config, [string] $Message, [string] $Module = 'General', [hashtable] $Properties = @{})
    Send-Log -Config $Config -Level Error -Message $Message -Module $Module -Properties $Properties
}

function Write-LogCritical {
    param([LoggerConfig] $Config, [string] $Message, [string] $Module = 'General', [hashtable] $Properties = @{})
    Send-Log -Config $Config -Level Critical -Message $Message -Module $Module -Properties $Properties
}

Send-Log 在创建日志条目前自动注入主机名、用户名和 PowerShell 版本三个上下文字段。通过 foreach 语句遍历所有注册的写入器并逐一执行,单个写入器失败不会影响其他写入器。五个便捷函数封装了对应的日志级别,调用时无需手动指定 -Level 参数。

实战:在脚本中使用日志框架

下面模拟一个典型的文件处理脚本,展示日志框架的完整使用方式。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
# 初始化日志框架(Debug 级别,开发阶段能看到所有日志)
$logger = New-Logger -MinimumLevel Debug -LogDirectory '.\logs' -ApplicationName 'FileProcessor'

Write-LogInfo -Config $logger -Message '文件处理任务启动' -Module 'Main' -Properties @{
    taskType = 'BatchImport'
    sourcePath = 'D:\Data\Incoming'
}

# 模拟处理一批文件
$files = @('report-q3.csv', 'inventory.json', 'customers.xlsx', 'orders-corrupt.bad')

foreach ($file in $files) {
    Write-LogDebug -Config $logger -Message "开始处理文件: $file" -Module 'FileHandler' -Properties @{
        fileName = $file
        fileSize = (Get-Random -Minimum 1024 -Maximum 10485760)
    }

    if ($file -match 'corrupt') {
        Write-LogError -Config $logger -Message "文件损坏,跳过处理: $file" -Module 'FileHandler' -Properties @{
            fileName = $file
            errorCode = 'CORRUPT_HEADER'
            recoverable = $false
        }
        continue
    }

    Write-LogInfo -Config $logger -Message "文件处理完成: $file" -Module 'FileHandler' -Properties @{
        fileName = $file
        rowsProcessed = (Get-Random -Minimum 100 -Maximum 5000)
        durationMs = (Get-Random -Minimum 50 -Maximum 2000)
    }
}

Write-LogWarning -Config $logger -Message '批次处理结束,存在跳过的文件' -Module 'Main' -Properties @{
    totalFiles = $files.Count
    successCount = ($files | Where-Object { $_ -notmatch 'corrupt' }).Count
    skippedCount = 1
}

Write-LogInfo -Config $logger -Message '文件处理任务完成' -Module 'Main'

模拟执行结果如下:

1
2
3
4
5
6
7
8
9
10
11
[14:30:01] [Information] [Main] 文件处理任务启动
[14:30:01] [Debug] [FileHandler] 开始处理文件: report-q3.csv
[14:30:01] [Information] [FileHandler] 文件处理完成: report-q3.csv
[14:30:01] [Debug] [FileHandler] 开始处理文件: inventory.json
[14:30:02] [Information] [FileHandler] 文件处理完成: inventory.json
[14:30:02] [Debug] [FileHandler] 开始处理文件: customers.xlsx
[14:30:02] [Information] [FileHandler] 文件处理完成: customers.xlsx
[14:30:02] [Debug] [FileHandler] 开始处理文件: orders-corrupt.bad
[14:30:02] [Error] [FileHandler] 文件损坏,跳过处理: orders-corrupt.bad
[14:30:02] [Warning] [Main] 批次处理结束,存在跳过的文件
[14:30:02] [Information] [Main] 文件处理任务完成

同时,在 .\logs 目录下会生成类似 FileProcessor-20250925.jsonl 的文件,每行是一条完整的 JSON 日志。下面是其中一行记录的格式化展示:

1
{"timestamp":"2025-09-25T14:30:02.1234567+08:00","level":"Error","module":"FileHandler","message":"文件损坏,跳过处理: orders-corrupt.bad","correlationId":"a3f8c1d2","fileName":"orders-corrupt.bad","errorCode":"CORRUPT_HEADER","recoverable":false,"host":"WORKSTATION01","user":"admin","psVersion":"7.4.0"}

查询与分析结构化日志

结构化日志最大的优势在于可以用标准工具进行查询。下面的函数演示如何快速检索 JSONL 日志文件。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
function Search-LogArchive {
    param(
        [Parameter(Mandatory)]
        [string] $Path,

        [ValidateSet('Debug', 'Information', 'Warning', 'Error', 'Critical')]
        [string] $Level,

        [string] $Module,

        [string] $MessagePattern,

        [DateTime] $After,

        [int] $Latest = 50
    )

    $records = [System.Collections.Generic.List[psobject]]::new()

    $lines = Get-Content -Path $Path -Encoding UTF8

    foreach ($line in $lines) {
        if ([string]::IsNullOrWhiteSpace($line)) { continue }

        try {
            $obj = $line | ConvertFrom-Json
        } catch {
            continue
        }

        # 按条件过滤
        if ($Level -and $obj.level -ne $Level) { continue }
        if ($Module -and $obj.module -ne $Module) { continue }
        if ($MessagePattern -and $obj.message -notmatch $MessagePattern) { continue }
        if ($After -and [DateTime]$obj.timestamp -lt $After) { continue }

        $records.Add($obj)
    }

    # 按时间排序并取最近的记录
    $results = $records | Sort-Object { $_.timestamp } -Descending |
        Select-Object -First $Latest

    return $results
}

# 使用示例:查询今天所有 Error 级别的日志
$errors = Search-LogArchive -Path '.\logs\FileProcessor-20250925.jsonl' -Level Error

foreach ($err in $errors) {
    Write-Host "[$($err.timestamp)] $($err.message) (module=$($err.module), errorCode=$($err.errorCode))"
}

查询结果示例:

1
[2025-09-25T14:30:02.1234567+08:00] 文件损坏,跳过处理: orders-corrupt.bad (module=FileHandler, errorCode=CORRUPT_HEADER)

Search-LogArchive 函数逐行读取 JSONL 文件,使用 ConvertFrom-Json 解析每条记录后按条件过滤。支持按级别、模块、消息模式和时间范围过滤,返回最近的 N 条匹配记录。由于使用 foreach 语句逐行处理,即使是几十 MB 的日志文件也能保持较低的内存占用。

动态调整日志级别

在生产环境中,经常需要在不重启服务的情况下调整日志级别来排查问题。下面实现一个简单的运行时级别切换机制。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
function Set-LoggerLevel {
    param(
        [Parameter(Mandatory)]
        [LoggerConfig] $Config,

        [Parameter(Mandatory)]
        [LogLevel] $Level
    )

    $oldLevel = $Config.MinimumLevel
    $Config.MinimumLevel = $Level

    # 级别变更本身也记录到日志中
    Send-Log -Config $Config -Level Information -Message "日志级别已变更" `
        -Module 'Logger' -Properties @{
        oldLevel = $oldLevel.ToString()
        newLevel = $Level.ToString()
        changedBy = $env:USERNAME
    }
}

# 正常运行时使用 Information 级别
$logger = New-Logger -MinimumLevel Information -ApplicationName 'WebMonitor'

Write-LogInfo -Config $logger -Message '站点健康检查通过' -Module 'HealthCheck'
Write-LogDebug -Config $logger -Message '这条不会输出' -Module 'HealthCheck'

# 发现异常,临时切换到 Debug 级别排查
Set-LoggerLevel -Config $logger -Level Debug

Write-LogDebug -Config $logger -Message '现在 Debug 日志可见了' -Module 'HealthCheck'

# 排查完毕,恢复到 Information
Set-LoggerLevel -Config $logger -Level Information

执行结果:

1
2
3
4
[14:35:10] [Information] [HealthCheck] 站点健康检查通过
[14:35:10] [Information] [Logger] 日志级别已变更
[14:35:10] [Debug] [HealthCheck] 现在 Debug 日志可见了
[14:35:10] [Information] [Logger] 日志级别已变更

级别切换操作本身会被记录为一条 Information 日志,包含了变更前后的级别和操作人信息,方便审计追踪。这在多人共享的运维环境中尤为重要。

注意事项

  • 关联 ID 的使用:每个 LoggerConfig 实例会自动生成一个关联 ID(Correlation ID),在分布式系统中用于串联一次完整请求的所有日志。建议在脚本入口处将此 ID 传递给所有子模块和远程调用。
  • JSONL 与普通 JSON 的选择:日志文件推荐使用 JSONL 格式(每行一条 JSON),而非 JSON 数组。JSONL 天然支持追加写入,不会因为进程中断导致文件格式损坏,也方便 Get-Content 逐行处理。
  • 写入器的异常隔离Send-Log 中对每个写入器都使用了 try/catch,确保某个输出目标(如网络端点不可达)不会导致整个日志功能失效。生产环境中务必保留这一保护机制。
  • 大日志文件的查询性能:当日志文件超过 100MB 时,Get-Content 会消耗较多内存。建议按日期滚动日志文件,或使用 System.IO.StreamReader 进行流式读取。
  • 线程安全注意事项:PowerShell 的 foreach 语句和 Add-Content 在单一线程(单一 runspace)中是安全的。但如果使用 ForEach-Object -Parallel 或 Start-Job 等并发机制,需要额外加锁保护文件写入,否则会出现内容交错。
  • 敏感信息过滤:自动注入的上下文属性(主机名、用户名)可能包含敏感信息。在将日志推送到外部系统之前,建议实现一个脱敏写入器,对指定字段进行掩码处理。
发表更新powershell / tip17 分钟读完 (大约2539个字)

PowerShell 技能连载 - 会话录制与审计追踪

适用于 PowerShell 5.1 及以上版本

在企业安全合规中,”谁在什么时候执行了什么操作”是最基本也最重要的审计需求。无论是金融行业的操作审计、医疗行业的 HIPAA 合规,还是日常运维的事故排查,完整的操作记录都不可或缺。PowerShell 内置的 Start-Transcript 可以记录整个会话的输入输出,结合脚本日志(Script Block Logging)和模块日志(Module Logging),可以构建完整的审计追踪体系。

本文将讲解 PowerShell 会话录制的多种方式,以及如何构建满足安全合规要求的审计系统。

Start-Transcript 基础录制

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
# Start-Transcript 记录会话中的所有输入和输出

function Start-SessionRecording {
    param(
        [string]$LogRoot = "C:\Logs\PowerShell\Transcripts",

        [string]$SessionName = "Interactive"
    )

    # 确保日志目录存在
    $datePath = Join-Path $LogRoot (Get-Date -Format "yyyy\\MM")
    New-Item -Path $datePath -ItemType Directory -Force | Out-Null

    # 生成唯一文件名:日期_主机_用户_会话ID
    $timestamp = Get-Date -Format "yyyyMMdd_HHmmss"
    $computer = $env:COMPUTERNAME
    $user = $env:USERNAME
    $sessionId = [System.Diagnostics.Process]::GetCurrentProcess().Id
    $fileName = "${timestamp}_${computer}_${user}_${sessionId}.txt"

    $transcriptPath = Join-Path $datePath $fileName

    # 启动录制
    Start-Transcript -Path $transcriptPath -IncludeInvocationHeader -Force | Out-Null

    # 在录制文件中写入元数据标记
    Write-Host "========================================"
    Write-Host "会话录制已启动"
    Write-Host "  会话类型:$SessionName"
    Write-Host "  操作人员:$user"
    Write-Host "  计算机名:$computer"
    Write-Host "  进程 ID:$sessionId"
    Write-Host "  开始时间:$(Get-Date -Format 'yyyy-MM-dd HH:mm:ss')"
    Write-Host "  录制文件:$transcriptPath"
    Write-Host "========================================"

    return $transcriptPath
}

function Stop-SessionRecording {
    param(
        [string]$Reason = "正常结束"
    )

    Write-Host "========================================"
    Write-Host "会话录制即将停止"
    Write-Host "  结束原因:$Reason"
    Write-Host "  结束时间:$(Get-Date -Format 'yyyy-MM-dd HH:mm:ss')"
    Write-Host "========================================"

    Stop-Transcript | Out-Null
    Write-Host "录制已停止并保存" -ForegroundColor Green
}

# 使用示例
$transcriptFile = Start-SessionRecording -SessionName "Maintenance"

执行结果示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
**************************************
Windows PowerShell transcript start
Start time: 20250808083000
Username: CONTOSO\Admin
RunAs User: CONTOSO\Admin
Machine: SRV-WEB01 (Microsoft Windows NT 10.0.20348.0)
========================================
会话录制已启动
  会话类型:Maintenance
  操作人员:Admin
  计算机名:SRV-WEB01
  进程 ID:12345
  开始时间:2025-08-08 08:30:00
  录制文件:C:\Logs\PowerShell\Transcripts\2025\08\20250808_083000_SRV-WEB01_Admin_12345.txt
========================================

脚本内嵌录制

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
# 在脚本中自动启用录制,确保运维操作可追溯

function Invoke-WithAuditTrail {
    param(
        [Parameter(Mandatory)]
        [scriptblock]$ScriptBlock,

        [string]$OperationName = "UnnamedOperation",

        [string]$LogRoot = "C:\Logs\PowerShell\Audit",

        [hashtable]$Metadata
    )

    # 构建审计日志路径
    $datePath = Join-Path $LogRoot (Get-Date -Format "yyyy\\MM\\dd")
    New-Item -Path $datePath -ItemType Directory -Force | Out-Null

    $timestamp = Get-Date -Format "yyyyMMdd_HHmmss"
    $transcriptPath = Join-Path $datePath "${timestamp}_${OperationName}.log"

    # 记录审计元数据
    $auditHeader = @(
        "=== 审计记录 ==="
        "  操作名称:$OperationName"
        "  执行用户:$env:USERNAME"
        "  计算机名:$env:COMPUTERNAME"
        "  开始时间:$(Get-Date -Format 'yyyy-MM-dd HH:mm:ss')"
    )

    if ($Metadata) {
        $auditHeader += "  --- 自定义元数据 ---"
        foreach ($key in $Metadata.Keys) {
            $auditHeader += "  ${key}: $($Metadata[$key])"
        }
    }

    # 启动录制
    Start-Transcript -Path $transcriptPath -Force | Out-Null
    $auditHeader | ForEach-Object { Write-Host $_ }

    $success = $false
    $errorMessage = ""
    $startTime = Get-Date

    try {
        # 执行目标脚本
        $result = & $ScriptBlock
        $success = $true
        Write-Host "=== 操作完成 ==="
        Write-Host "  结果:成功"
    } catch {
        $success = $false
        $errorMessage = $_.Exception.Message
        Write-Host "=== 操作失败 ===" -ForegroundColor Red
        Write-Host "  错误信息:$errorMessage" -ForegroundColor Red
    } finally {
        $endTime = Get-Date
        $duration = ($endTime - $startTime).ToString("hh\:mm\:ss")

        Write-Host "  耗时:$duration"
        Write-Host "  结束时间:$(Get-Date -Format 'yyyy-MM-dd HH:mm:ss')"
        Stop-Transcript | Out-Null
    }

    # 返回审计摘要
    return [PSCustomObject]@{
        Operation   = $OperationName
        Transcript  = $transcriptPath
        Success     = $success
        Error       = $errorMessage
        StartTime   = $startTime
        EndTime     = $endTime
        Duration    = $duration
    }
}

# 使用示例
$auditResult = Invoke-WithAuditTrail -OperationName "Deploy-MyApp" -Metadata @{
    Version   = "2.5.0"
    Env       = "Production"
    Approver  = "Manager Zhang"
    Ticket    = "OPS-2025-0808"
} -ScriptBlock {
    Write-Host "开始部署 MyApp v2.5.0..."
    Start-Sleep -Seconds 2
    Write-Host "复制文件到目标目录..."
    Write-Host "重启服务..."
    Write-Host "验证服务状态..."
    "DeployComplete"
}

$auditResult | Format-List

执行结果示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
=== 审计记录 ===
  操作名称:Deploy-MyApp
  执行用户:Admin
  计算机名:SRV-WEB01
  开始时间:2025-08-08 08:30:00
  --- 自定义元数据 ---
  Version: 2.5.0
  Env: Production
  Approver: Manager Zhang
  Ticket: OPS-2025-0808
开始部署 MyApp v2.5.0...
复制文件到目标目录...
重启服务...
验证服务状态...
=== 操作完成 ===
  结果:成功
  耗时:00:00:02
  结束时间:2025-08-08 08:30:02

Operation   : Deploy-MyApp
Transcript  : C:\Logs\PowerShell\Audit\2025\08\08\20250808_083000_Deploy-MyApp.log
Success     : True
Error       :
StartTime   : 2025-08-08 08:30:00
EndTime     : 2025-08-08 08:30:02
Duration    : 00:00:02

Script Block Logging 集成

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
# 读取 Windows 事件日志中的 PowerShell 脚本块日志
# 需要提前启用 Script Block Logging(组策略或注册表)

function Enable-ScriptBlockLogging {
    param(
        [switch]$IncludeWarningLevel
    )

    $regPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging"

    if (-not (Test-Path $regPath)) {
        New-Item -Path $regPath -Force | Out-Null
    }

    # 启用脚本块日志
    Set-ItemProperty -Path $regPath -Name "EnableScriptBlockLogging" -Value 1

    if ($IncludeWarningLevel) {
        # 同时记录警告级别(如混淆代码、可疑命令)
        Set-ItemProperty -Path $regPath -Name "EnableScriptBlockInvocationLogging" -Value 1
    }

    Write-Host "Script Block Logging 已启用" -ForegroundColor Green
}

function Get-ScriptBlockLog {
    param(
        [int]$MaxEvents = 50,

        [datetime]$StartTime,

        [string]$OutputPath
    )

    $params = @{
        LogName   = "Microsoft-Windows-PowerShell/Operational"
        Id        = 4104
        MaxEvents = $MaxEvents
    }

    if ($StartTime) {
        $params["StartTime"] = $StartTime
    }

    $events = Get-WinEvent @params -ErrorAction SilentlyContinue

    if (-not $events) {
        Write-Warning "未找到脚本块日志"
        return
    }

    $logEntries = foreach ($event in $events) {
        [PSCustomObject]@{
            TimeCreated = $event.TimeCreated
            Level       = $event.LevelDisplayName
            Computer    = $event.MachineName
            UserId      = $event.UserId
            ScriptBlock = $event.Properties[0].Value.Substring(
                0, [Math]::Min(200, $event.Properties[0].Value.Length)
            )
            Path        = if ($event.Properties.Count -gt 1) {
                $event.Properties[1].Value
            } else {
                "Interactive"
            }
        }
    }

    if ($OutputPath) {
        $logEntries | Export-Csv -Path $OutputPath -NoTypeInformation -Encoding UTF8
        Write-Host "已导出 $($logEntries.Count) 条日志到:$OutputPath" -ForegroundColor Green
    }

    return $logEntries
}

# 启用脚本块日志
Enable-ScriptBlockLogging -IncludeWarningLevel

# 查询最近的脚本块日志
Get-ScriptBlockLog -MaxEvents 10 -StartTime (Get-Date).AddHours(-1) |
    Format-Table TimeCreated, Level, Path -AutoSize

执行结果示例:

1
2
3
4
5
6
7
8
Script Block Logging 已启用

TimeCreated          Level        Path
-----------          -----        ----
2025-08-08 08:28:15  Information  Interactive
2025-08-08 08:28:14  Information  Interactive
2025-08-08 08:25:30  Warning      C:\Scripts\deploy.ps1
2025-08-08 08:25:29  Information  C:\Scripts\deploy.ps1

审计日志搜索与分析

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
# 审计日志分析工具:从 Transcript 文件中搜索敏感操作

function Search-AuditLog {
    param(
        [Parameter(Mandatory)]
        [string]$LogRoot,

        [string[]]$Keywords = @("Remove-", "Stop-", "Delete", "Drop", "Format"),

        [datetime]$StartDate,

        [datetime]$EndDate,

        [string]$UserFilter,

        [int]$ContextLines = 3
    )

    # 查找所有 transcript 文件
    $files = Get-ChildItem -Path $LogRoot -Recurse -Filter "*.txt" -File

    if ($StartDate) {
        $files = $files | Where-Object { $_.LastWriteTime -ge $StartDate }
    }
    if ($EndDate) {
        $files = $files | Where-Object { $_.LastWriteTime -le $EndDate }
    }

    Write-Host "扫描 $($files.Count) 个审计日志文件..." -ForegroundColor Cyan

    $findings = @()
    $pattern = ($Keywords | ForEach-Object { [regex]::Escape($_) }) -join "|"

    foreach ($file in $files) {
        $lines = Get-Content $file.FullName -Encoding UTF8

        # 提取用户信息
        $userLine = $lines | Where-Object { $_ -match "^Username:" } | Select-Object -First 1
        $fileUser = if ($userLine -match "Username:\s*(.+)") {
            $Matches[1].Trim()
        } else {
            "Unknown"
        }

        # 用户过滤
        if ($UserFilter -and $fileUser -notlike "*$UserFilter*") {
            continue
        }

        for ($i = 0; $i -lt $lines.Count; $i++) {
            if ($lines[$i] -match $pattern) {
                # 收集上下文行
                $start = [Math]::Max(0, $i - $ContextLines)
                $end = [Math]::Min($lines.Count - 1, $i + $ContextLines)
                $context = ($lines[$start..$end] | Where-Object { $_ }) -join "`n"

                $findings += [PSCustomObject]@{
                    File      = $file.FullName
                    User      = $fileUser
                    LineNum   = $i + 1
                    Match     = $lines[$i].Trim()
                    Context   = $context
                    Timestamp = $file.LastWriteTime
                }
            }
        }
    }

    Write-Host "发现 $($findings.Count) 条敏感操作记录" `
        -ForegroundColor $(if ($findings.Count -gt 0) { "Yellow" } else { "Green" })

    return $findings
}

# 生成审计摘要报告
function New-AuditSummaryReport {
    param(
        [Parameter(Mandatory)]
        [object[]]$Findings,

        [string]$OutputPath = "C:\Reports\AuditSummary.html"
    )

    $reportDir = Split-Path $OutputPath -Parent
    New-Item $reportDir -ItemType Directory -Force | Out-Null

    $byUser = $Findings | Group-Object -Property User | Sort-Object Count -Descending
    $byKeyword = foreach ($f in $Findings) {
        foreach ($kw in @("Remove-", "Stop-", "Delete", "Drop")) {
            if ($f.Match -match [regex]::Escape($kw)) {
                [PSCustomObject]@{ Keyword = $kw; Match = $f.Match }
            }
        }
    } | Group-Object -Property Keyword | Sort-Object Count -Descending

    $html = @"
<!DOCTYPE html>
<html><head><meta charset="UTF-8"><title>审计摘要报告</title>
<style>
body{font-family:'Segoe UI',sans-serif;margin:20px;background:#f5f6fa}
h1{color:#2d3436;border-bottom:2px solid #e74c3c}
h2{color:#2d3436;margin-top:30px}
table{width:100%;border-collapse:collapse;margin:10px 0}
th{background:#0984e3;color:white;padding:10px;text-align:left}
td{padding:8px 10px;border-bottom:1px solid #dfe6e9}
.summary{display:flex;gap:15px;margin:15px 0}
.card{background:white;border-radius:8px;padding:15px;box-shadow:0 2px 4px rgba(0,0,0,0.1)}
.card .value{font-size:24px;font-weight:bold}
</style></head><body>
<h1>审计摘要报告</h1>
<p>生成时间:$(Get-Date -Format 'yyyy-MM-dd HH:mm:ss')</p>
<div class="summary">
<div class="card"><div class="value" style="color:#e74c3c">$($Findings.Count)</div><div>敏感操作总数</div></div>
<div class="card"><div class="value" style="color:#0984e3">$($byUser.Count)</div><div>涉及用户</div></div>
</div>
<h2>按用户统计</h2><table><tr><th>用户</th><th>操作次数</th></tr>
$($byUser | ForEach-Object { "<tr><td>$($_.Name)</td><td>$($_.Count)</td></tr>" })
</table>
<h2>按操作类型统计</h2><table><tr><th>关键字</th><th>次数</th></tr>
$($byKeyword | ForEach-Object { "<tr><td>$($_.Name)</td><td>$($_.Count)</td></tr>" })
</table></body></html>
"@

    $html | Set-Content $OutputPath -Encoding UTF8
    Write-Host "审计报告已生成:$OutputPath" -ForegroundColor Green
}

# 使用示例
$results = Search-AuditLog -LogRoot "C:\Logs\PowerShell\Transcripts" `
    -Keywords @("Remove-", "Stop-", "Delete") `
    -StartDate (Get-Date).AddDays(-7)

if ($results) {
    New-AuditSummaryReport -Findings $results
}

执行结果示例:

1
2
3
4
扫描 42 个审计日志文件...
发现 15 条敏感操作记录

审计报告已生成:C:\Reports\AuditSummary.html

全局自动录制配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
# 通过 Profile 配置所有 PowerShell 会话自动录制

$profileContent = @'
# ===== 全局审计录制 =====
$transcriptRoot = "C:\Logs\PowerShell\Transcripts"
$dateFolder = Join-Path $transcriptRoot (Get-Date -Format "yyyy\\MM")
New-Item -Path $dateFolder -ItemType Directory -Force | Out-Null

$sessionId = [System.Diagnostics.Process]::GetCurrentProcess().Id
$transcriptFile = Join-Path $dateFolder "$(Get-Date -Format 'yyyyMMdd_HHmmss')_${env:COMPUTERNAME}_${env:USERNAME}_${sessionId}.txt"

try {
    Start-Transcript -Path $transcriptFile -IncludeInvocationHeader -Force | Out-Null
} catch {
    # 录制启动失败不阻止正常工作
    Write-Debug "Transcript 启动失败:$($_.Exception.Message)"
}

# 注册会话退出事件,确保录制正常结束
$null = Register-EngineEvent -SourceIdentifier PowerShell.Exiting -Action {
    try {
        Stop-Transcript | Out-Null
    } catch {
        # 忽略退出时的错误
    }
}
'@

# 显示配置说明
function Set-GlobalTranscript {
    param(
        [string]$ProfilePath = $PROFILE.AllUsersAllHosts
    )

    Write-Host "将以下内容添加到 PowerShell Profile:" -ForegroundColor Cyan
    Write-Host "  路径:$ProfilePath" -ForegroundColor Yellow
    Write-Host ""

    if (Test-Path $ProfilePath) {
        $existing = Get-Content $ProfilePath -Raw -Encoding UTF8
        if ($existing -match "Start-Transcript") {
            Write-Warning "Profile 中已存在 Start-Transcript 配置,跳过"
            return
        }

        # 追加到已有 Profile
        $profileContent | Add-Content $ProfilePath -Encoding UTF8
        Write-Host "已追加到现有 Profile" -ForegroundColor Green
    } else {
        $profileDir = Split-Path $ProfilePath -Parent
        New-Item -Path $profileDir -ItemType Directory -Force | Out-Null
        $profileContent | Set-Content $ProfilePath -Encoding UTF8
        Write-Host "已创建新 Profile" -ForegroundColor Green
    }

    Write-Host ""
    Write-Host "新会话将自动启动录制。" -ForegroundColor Green
    Write-Host "注意:所有用户的所有 PowerShell 会话都将被录制。" -ForegroundColor Yellow
}

# 检查当前录制状态
function Get-TranscriptStatus {
    $transcript = try { Get-Transcript } catch { $null }

    if ($transcript) {
        [PSCustomObject]@{
            IsRecording = $true
            Path        = $transcript.Path
            StartTime   = $transcript.StartTime
            SizeKB      = if (Test-Path $transcript.Path) {
                [Math]::Round((Get-Item $transcript.Path).Length / 1KB, 1)
            } else { "N/A" }
        }
    } else {
        [PSCustomObject]@{
            IsRecording = $false
            Path        = "N/A"
            StartTime   = "N/A"
            SizeKB      = "N/A"
        }
    }
}

Get-TranscriptStatus | Format-List

执行结果示例:

1
2
3
4
5
6
7
8
9
10
11
将以下内容添加到 PowerShell Profile:
  路径:C:\Windows\System32\WindowsPowerShell\v1.0\profile.ps1
已创建新 Profile

新会话将自动启动录制。
注意:所有用户的所有 PowerShell 会话都将被录制。

IsRecording : True
Path        : C:\Logs\PowerShell\Transcripts\2025\08\20250808_083000_SRV-WEB01_Admin_12345.txt
StartTime   : 2025-08-08 08:30:00
SizeKB      : 12.5

注意事项

  1. 存储空间:Transcript 文件会持续增长,务必配置定期清理策略(如保留 90 天),避免磁盘被填满
  2. 敏感信息:录制会捕获密码输入等敏感内容,生产环境中应在密码提示前暂停录制或使用 Read-Host -AsSecureString
  3. 性能影响:Script Block Logging 在高频脚本环境中可能产生大量事件日志,建议仅在高安全要求的服务器上启用
  4. 日志完整性:有权限的用户可以执行 Stop-Transcript 停止录制,关键系统应结合 Windows 事件转发(WEF)集中收集日志
  5. 合规要求:不同行业对日志保留期限有不同要求(如金融行业通常 7 年),需根据实际合规标准配置保留策略
  6. 编码一致性:Transcript 文件使用系统默认编码,在跨语言环境中读取时可能出现乱码,分析工具应指定正确的编码
发表更新powershell / tip9 分钟读完 (大约1396个字)

PowerShell 技能连载 - 日志记录模式

适用于 PowerShell 5.1 及以上版本

生产级脚本必须有可靠的日志记录——没有日志的脚本就像黑盒,出了问题无从排查。但”加个 Write-Host“和”设计一个日志系统”之间差距巨大。好的日志系统应该支持多级别输出、同时写文件和控制台、自动轮转、结构化格式,而且不影响脚本性能。

本文将讲解 PowerShell 中的日志记录模式,从简单到复杂,适用于不同规模的脚本和自动化场景。

简单日志函数

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
# 基础日志函数
function Write-Log {
    param(
        [Parameter(Mandatory)]
        [string]$Message,

        [ValidateSet("DEBUG", "INFO", "WARN", "ERROR", "FATAL")]
        [string]$Level = "INFO",

        [string]$LogPath = "C:\Logs\script.log"
    )

    $timestamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss.fff"
    $entry = "[$timestamp] [$Level] $Message"

    # 控制台输出(带颜色)
    $color = switch ($Level) {
        "DEBUG" { "DarkGray" }
        "INFO"  { "White" }
        "WARN"  { "Yellow" }
        "ERROR" { "Red" }
        "FATAL" { "Magenta" }
    }
    Write-Host $entry -ForegroundColor $color

    # 文件输出
    $logDir = Split-Path $LogPath -Parent
    if (-not (Test-Path $logDir)) {
        New-Item $logDir -ItemType Directory -Force | Out-Null
    }

    Add-Content -Path $LogPath -Value $entry -Encoding UTF8
}

# 使用示例
Write-Log -Level INFO  "开始部署 MyApp v2.5.0"
Write-Log -Level DEBUG "读取配置文件:C:\MyApp\config.json"
Write-Log -Level WARN  "磁盘空间低于 20%"
Write-Log -Level ERROR "数据库连接超时(30s)"
Write-Log -Level FATAL "服务启动失败,中止部署"

执行结果示例:

1
2
3
4
5
[2025-07-15 08:30:15.123] [INFO] 开始部署 MyApp v2.5.0
[2025-07-15 08:30:15.125] [DEBUG] 读取配置文件:C:\MyApp\config.json
[2025-07-15 08:30:15.130] [WARN] 磁盘空间低于 20%
[2025-07-15 08:30:15.135] [ERROR] 数据库连接超时(30s)
[2025-07-15 08:30:15.140] [FATAL] 服务启动失败,中止部署

可配置日志系统

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
function New-Logger {
    <#
    .SYNOPSIS
    创建可配置的日志记录器
    #>
    param(
        [string]$Name = "Script",

        [string]$LogDirectory = "C:\Logs",

        [ValidateSet("DEBUG", "INFO", "WARN", "ERROR")]
        [string]$MinLevel = "INFO",

        [switch]$LogToConsole,

        [switch]$LogToFile,

        [int]$MaxFileSizeMB = 10,

        [int]$MaxFiles = 5
    )

    $logPath = Join-Path $LogDirectory "$Name-$(Get-Date -Format 'yyyyMMdd').log"

    return [PSCustomObject]@{
        Name         = $Name
        LogPath      = $logPath
        MinLevel     = $MinLevel
        LogToConsole = $LogToConsole
        LogToFile    = $LogToFile
        MaxFileSizeMB = $MaxFileSizeMB
        MaxFiles     = $MaxFiles
    } | Add-Member -MemberType ScriptMethod -Name Write -Value {
        param($Message, $Level = "INFO")

        $levelOrder = @{ DEBUG = 0; INFO = 1; WARN = 2; ERROR = 3 }
        if ($levelOrder[$Level] -lt $levelOrder[$this.MinLevel]) { return }

        $timestamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss.fff"
        $entry = "[$timestamp] [$Level] [$($this.Name)] $Message"

        if ($this.LogToConsole) {
            $color = switch ($Level) {
                "DEBUG" { "DarkGray" }
                "INFO"  { "Cyan" }
                "WARN"  { "Yellow" }
                "ERROR" { "Red" }
            }
            Write-Host $entry -ForegroundColor $color
        }

        if ($this.LogToFile) {
            # 日志轮转检查
            if (Test-Path $this.LogPath) {
                $size = (Get-Item $this.LogPath).Length / 1MB
                if ($size -ge $this.MaxFileSizeMB) {
                    $baseName = $this.LogPath -replace '\.log$', ''
                    for ($i = $this.MaxFiles - 1; $i -ge 1; $i--) {
                        $old = "$baseName.$i.log"
                        if (Test-Path $old) {
                            if ($i -eq $this.MaxFiles - 1) {
                                Remove-Item $old -Force
                            } else {
                                Move-Item $old "$baseName.$($i+1).log" -Force
                            }
                        }
                    }
                    Move-Item $this.LogPath "$baseName.1.log" -Force
                }
            }

            $logDir = Split-Path $this.LogPath -Parent
            if (-not (Test-Path $logDir)) {
                New-Item $logDir -ItemType Directory -Force | Out-Null
            }
            Add-Content -Path $this.LogPath -Value $entry -Encoding UTF8
        }
    } -Force -PassThru
}

# 创建日志记录器
$log = New-Logger -Name "Deploy" -LogDirectory "C:\Logs\Deploy" `
    -LogToConsole -LogToFile -MinLevel DEBUG

$log.Write("部署开始", "INFO")
$log.Write("备份旧版本", "DEBUG")
$log.Write("停止服务", "INFO")
$log.Write("复制文件", "INFO")
$log.Write("磁盘空间不足", "WARN")
$log.Write("服务启动失败", "ERROR")
$log.Write("部署完成", "INFO")

执行结果示例:

1
2
3
4
5
6
7
[2025-07-15 08:30:15.123] [INFO] [Deploy] 部署开始
[2025-07-15 08:30:15.125] [DEBUG] [Deploy] 备份旧版本
[2025-07-15 08:30:15.130] [INFO] [Deploy] 停止服务
[2025-07-15 08:30:15.135] [INFO] [Deploy] 复制文件
[2025-07-15 08:30:15.140] [WARN] [Deploy] 磁盘空间不足
[2025-07-15 08:30:15.145] [ERROR] [Deploy] 服务启动失败
[2025-07-15 08:30:15.150] [INFO] [Deploy] 部署完成

结构化日志

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
# JSON 结构化日志(适合 ELK/Splunk 等日志平台)
function Write-StructuredLog {
    param(
        [string]$Message,
        [string]$Level = "INFO",
        [hashtable]$Properties = @{},
        [string]$LogPath = "C:\Logs\structured.json"
    )

    $entry = [ordered]@{
        timestamp   = Get-Date -Format "yyyy-MM-ddTHH:mm:ss.fffZ"
        level       = $Level
        message     = $Message
        script      = $MyInvocation.ScriptName
        line        = $MyInvocation.ScriptLineNumber
        computer    = $env:COMPUTERNAME
        user        = $env:USERNAME
    }

    # 合并额外属性
    foreach ($key in $Properties.Keys) {
        $entry[$key] = $Properties[$key]
    }

    $jsonLine = $entry | ConvertTo-Json -Compress
    Add-Content -Path $LogPath -Value $jsonLine -Encoding UTF8
}

# 使用结构化日志
Write-StructuredLog -Message "服务健康检查" -Level "INFO" -Properties @{
    service     = "MyApp"
    action      = "health_check"
    duration_ms = 45
    status      = "healthy"
}

Write-StructuredLog -Message "部署完成" -Level "INFO" -Properties @{
    app_name    = "MyApp"
    version     = "2.5.0"
    environment = "production"
    duration_s  = 120
    steps       = @("backup", "deploy", "verify")
    server      = "SRV01"
}

Write-StructuredLog -Message "连接超时" -Level "ERROR" -Properties @{
    server      = "db-prod-01"
    port        = 5432
    timeout_s   = 30
    retry_count = 3
    error_code  = "CONN_TIMEOUT"
}

# 读取结构化日志并分析
$logs = Get-Content "C:\Logs\structured.json" | ConvertFrom-Json
$errors = $logs | Where-Object { $_.level -eq "ERROR" }
Write-Host "`n最近错误:$($errors.Count) 条" -ForegroundColor Red
$errors | Select-Object timestamp, message, server | Format-Table -AutoSize

执行结果示例:

1
2
3
4
最近错误:1 条
timestamp                    message        server
---------                    -------        ------
2025-07-15T08:30:20.123Z     连接超时       db-prod-01

日志分析工具

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
# 快速分析日志文件
function Get-LogSummary {
    param(
        [Parameter(Mandatory)]
        [string]$LogPath,

        [int]$LastN = 100
    )

    $lines = Get-Content $LogPath -Tail $LastN

    $stats = @{
        Total   = 0
        Info    = 0
        Warning = 0
        Error   = 0
        Debug   = 0
    }

    $errorMessages = @()

    foreach ($line in $lines) {
        $stats.Total++

        if ($line -match '\[INFO\]')  { $stats.Info++ }
        if ($line -match '\[WARN')    { $stats.Warning++ }
        if ($line -match '\[ERROR\]') {
            $stats.Error++
            $errorMessages += $line
        }
        if ($line -match '\[DEBUG\]') { $stats.Debug++ }
    }

    Write-Host "日志摘要(最近 $LastN 行):" -ForegroundColor Cyan
    Write-Host "  总计:$($stats.Total)"
    Write-Host "  INFO:$($stats.Info)" -ForegroundColor White
    Write-Host "  WARN:$($stats.Warning)" -ForegroundColor Yellow
    Write-Host "  ERROR:$($stats.Error)" -ForegroundColor Red
    Write-Host "  DEBUG:$($stats.Debug)" -ForegroundColor DarkGray

    if ($errorMessages.Count -gt 0) {
        Write-Host "`n最近错误:" -ForegroundColor Red
        $errorMessages | Select-Object -Last 5 | ForEach-Object {
            Write-Host "  $_" -ForegroundColor Red
        }
    }
}

Get-LogSummary -LogPath "C:\Logs\Deploy\Deploy-20250715.log" -LastN 500

执行结果示例:

1
2
3
4
5
6
7
8
9
10
11
日志摘要(最近 500 行):
  总计:500
  INFO:320
  WARN:45
  ERROR:12
  DEBUG:123

最近错误:
  [2025-07-15 08:25:10] [ERROR] [Deploy] 数据库连接超时
  [2025-07-15 08:30:45] [ERROR] [Deploy] 文件复制失败:拒绝访问
  [2025-07-15 08:35:22] [ERROR] [Deploy] 服务启动失败

注意事项

  1. 性能影响:每次 Add-Content 都会打开-写入-关闭文件,高频日志使用 StreamWriter 提升性能
  2. 并发写入:多进程同时写同一日志文件会导致内容交错,使用文件锁或独立日志文件
  3. 日志轮转:不限制日志文件大小会耗尽磁盘空间,务必实现轮转或使用日志框架
  4. 敏感数据:日志中不要记录密码、Token、完整连接字符串等敏感信息
  5. 日志级别:DEBUG 详细记录用于开发排查,生产环境设置为 INFO 或 WARN
  6. UTF-8 BOMAdd-Content -Encoding UTF8 在 PowerShell 5.1 中会添加 BOM,使用 [System.IO.StreamWriter] 可避免
发表更新powershell / tip11 分钟读完 (大约1576个字)

PowerShell 技能连载 - 日志分析与解析

适用于 PowerShell 5.1 及以上版本

日志分析是运维排障的核心技能。无论是 IIS 访问日志、应用程序错误日志、Windows 事件日志还是自定义的业务日志,快速定位问题需要高效的日志解析能力。PowerShell 的文本处理命令(Select-StringConvertFrom-Csv、正则表达式)结合对象管道,可以构建强大的日志分析工具链。

本文将讲解常见的日志格式解析方法、模式匹配技巧,以及实用的日志分析脚本。

基础文本搜索

Select-String 是 PowerShell 中的 grep,支持正则表达式和文件通配符:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
# 基础搜索:在日志文件中查找关键词
Select-String -Path "C:\Logs\app.log" -Pattern "ERROR" |
    Select-Object -First 10 |
    ForEach-Object { $_.Line }

# 显示匹配行的上下文(前后各 2 行)
Select-String -Path "C:\Logs\app.log" -Pattern "Exception" -Context 2,2

# 递归搜索目录
Select-String -Path "C:\Logs\*.log" -Pattern "timeout|refused|reset" -Recurse

# 统计各日志文件中的错误数
Get-ChildItem "C:\Logs" -Filter *.log |
    ForEach-Object {
        $errors = (Select-String -Path $_.FullName -Pattern "ERROR|FATAL" -Quiet).Count
        [PSCustomObject]@{
            File    = $_.Name
            Errors  = $errors
            SizeMB  = [math]::Round($_.Length / 1MB, 2)
        }
    } | Sort-Object Errors -Descending |
    Format-Table -AutoSize

执行结果示例:

1
2
3
4
5
6
7
8
9
2025-05-21 08:15:32 ERROR [DB] Connection timeout after 30s
2025-05-21 08:20:18 ERROR [API] Upstream timeout (504) - /api/users
2025-05-21 08:25:45 ERROR [AUTH] Failed to authenticate user: john.doe

File          Errors SizeMB
----          ------ ------
app-2025.log     42  15.32
api-2025.log     28   8.45
auth-2025.log    12   3.21

解析结构化日志

许多应用使用结构化的日志格式(如 JSON Lines),PowerShell 可以轻松解析:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
# 解析 JSON Lines 格式的日志
$logEntries = Get-Content "C:\Logs\app.jsonl" |
    ForEach-Object {
        try {
            $_ | ConvertFrom-Json
        } catch {
            $null
        }
    } | Where-Object { $_ }

# 按日志级别过滤
$logEntries | Where-Object { $_.level -eq 'error' } |
    Select-Object timestamp, message, @{N='source'; E={$_.source -join '.'}} |
    Format-Table -AutoSize

# 按时间范围过滤
$startTime = (Get-Date).AddHours(-1)
$recentLogs = $logEntries |
    Where-Object { [datetime]$_.timestamp -gt $startTime }

Write-Host "最近 1 小时日志条数:$($recentLogs.Count)"

# 按字段聚合统计
$logEntries | Group-Object level |
    Select-Object Name, Count |
    Sort-Object Count -Descending |
    Format-Table -AutoSize

# 提取错误日志中的异常类型
$logEntries | Where-Object { $_.level -eq 'error' -and $_.exception } |
    ForEach-Object {
        $exType = if ($_.exception.type) { $_.exception.type } else { $_.exception.Split("`n")[0] }
        [PSCustomObject]@{
            Timestamp     = $_.timestamp
            ExceptionType = $exType
            Message       = $_.message
        }
    } | Format-Table -AutoSize -Wrap

执行结果示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
timestamp                  message                     source
---------                  -------                     ------
2025-05-21T08:15:32.123Z   Connection timeout after 30s db.pool
2025-05-21T08:20:18.456Z   Upstream timeout (504)       api.gateway

最近 1 小时日志条数:342

Name     Count
----     -----
info       280
warn        45
error       17

Timestamp               ExceptionType              Message
---------               --------------              -------
2025-05-21T08:15:32Z    SqlException               Connection timeout
2025-05-21T08:22:15Z    HttpRequestException        Upstream timeout
2025-05-21T08:30:01Z    AuthenticationException    Invalid token

解析 IIS 日志

IIS 日志使用 W3C 扩展格式,是空格分隔的文本。使用 ConvertFrom-Csv 可以高效解析:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
function Get-IISLogEntry {
    <#
    .SYNOPSIS
    解析 IIS W3C 格式日志
    #>
    param(
        [Parameter(Mandatory)]
        [string]$LogPath,

        [datetime]$StartTime,
        [datetime]$EndTime
    )

    # 读取文件头获取字段定义
    $header = Get-Content $LogPath |
        Where-Object { $_ -match '^#Fields:' } |
        Select-Object -First 1

    if (-not $header) {
        Write-Error "无法识别的日志格式"
        return
    }

    $fields = ($header -replace '^#Fields:\s*', '') -split '\s+'

    # 解析日志行
    $entries = Get-Content $LogPath |
        Where-Object { $_ -notmatch '^\#' -and $_.Trim() } |
        ConvertFrom-Csv -Delimiter ' ' -Header $fields

    # 时间过滤
    if ($StartTime -or $EndTime) {
        $entries = $entries | Where-Object {
            $ts = [datetime]"$($_.date) $($_.time)"
            ($StartTime -eq $null -or $ts -ge $StartTime) -and
            ($EndTime -eq $null -or $ts -le $EndTime)
        }
    }

    return $entries
}

# 分析 IIS 日志
$iisLogs = Get-IISLogEntry -LogPath "C:\inetpub\logs\LogFiles\W3SVC1\ex250521.log" `
    -StartTime (Get-Date).AddHours(-1)

# 统计 HTTP 状态码分布
$iisLogs | Group-Object 'sc-status' |
    Select-Object Name, Count |
    Sort-Object Count -Descending |
    Format-Table -AutoSize

# 统计访问量 Top 10 URL
$iisLogs | Group-Object 'cs-uri-stem' |
    Sort-Object Count -Descending |
    Select-Object -First 10 Count, Name |
    Format-Table -AutoSize

# 统计慢请求(响应时间 > 5 秒)
$iisLogs | Where-Object { $_.'time-taken' -gt 5000 } |
    Select-Object date, time, 'cs-uri-stem', 'sc-status', 'time-taken' |
    Sort-Object 'time-taken' -Descending |
    Format-Table -AutoSize

执行结果示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Name Count
---- -----
200   8456
304   1234
404    456
500    123

Count Name
----- ----
 2345 /api/users
 1876 /api/products
  987 /static/css/main.css
  654 /api/orders

date       time     cs-uri-stem   sc-status time-taken
----       ----     -----------   ---------- ----------
2025-05-21 08:15:32 /api/search   200        12456
2025-05-21 08:22:18 /api/reports  200         8734
2025-05-21 08:35:45 /api/export   200         6234

正则表达式提取模式

对于非结构化的文本日志,正则表达式是提取关键信息的利器:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
# 提取 IP 地址访问统计
$logContent = Get-Content "C:\Logs\access.log" -Tail 10000

$ipPattern = '\b(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\b'
$ips = $logContent | Select-String -Pattern $ipPattern |
    ForEach-Object { $_.Matches.Groups[1].Value }

$ips | Group-Object | Sort-Object Count -Descending |
    Select-Object -First 20 Count, Name |
    Format-Table -AutoSize

# 提取错误日志中的关键信息
$errorPattern = '(\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}).*?ERROR.*?\[(\w+)\]\s+(.+)'
$errorEntries = $logContent | Select-String -Pattern $errorPattern |
    ForEach-Object {
        [PSCustomObject]@{
            Timestamp = $_.Matches.Groups[1].Value
            Module    = $_.Matches.Groups[2].Value
            Message   = $_.Matches.Groups[3].Value
        }
    }

$errorEntries | Group-Object Module |
    Select-Object Name, Count |
    Sort-Object Count -Descending |
    Format-Table -AutoSize

# 提取 HTTP 状态码和响应时间
$httpPattern = '"\s(\d{3})\s(\d+)\s(\d+)'
$httpStats = $logContent | Select-String -Pattern $httpPattern |
    ForEach-Object {
        [PSCustomObject]@{
            StatusCode = $_.Matches.Groups[1].Value
            Size       = $_.Matches.Groups[2].Value
            Duration   = $_.Matches.Groups[3].Value
        }
    }

$httpStats | Where-Object { $_.StatusCode -match '^[45]' } |
    Group-Object StatusCode |
    Format-Table Name, Count -AutoSize

执行结果示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Count Name
----- ----
 1245 192.168.1.100
  876 10.0.0.55
  432 172.16.0.10
  234 192.168.1.101

Name     Count
----     -----
DB           15
API          10
AUTH          8
CACHE         4

Name Count
---- -----
500    89
404    45
503    12

实时日志监控

对于正在运行的服务,实时监控日志输出可以快速发现问题:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
function Watch-LogFile {
    <#
    .SYNOPSIS
    实时监控日志文件,匹配关键词时输出
    #>
    param(
        [Parameter(Mandatory)]
        [string]$Path,

        [string[]]$Pattern = @('ERROR', 'FATAL', 'WARN'),

        [int]$MaxLines = 1000
    )

    $patternRegex = $Pattern -join '|'

    Write-Host "监控中:$Path" -ForegroundColor Cyan
    Write-Host "过滤规则:$patternRegex" -ForegroundColor DarkGray
    Write-Host "按 Ctrl+C 停止`n" -ForegroundColor DarkGray

    # 先输出已有的匹配行
    Get-Content $Path -Tail 50 |
        Where-Object { $_ -match $patternRegex } |
        ForEach-Object {
            $level = if ($_ -match 'ERROR|FATAL') { 'Error' } else { 'Warning' }
            $color = if ($level -eq 'Error') { 'Red' } else { 'Yellow' }
            Write-Host $_ -ForegroundColor $color
        }

    # 持续监控新增内容
    Get-Content $Path -Wait -Tail 0 |
        Where-Object { $_ -match $patternRegex } |
        ForEach-Object {
            $level = if ($_ -match 'ERROR|FATAL') { 'Error' } else { 'Warning' }
            $color = if ($level -eq 'Error') { 'Red' } else { 'Yellow' }
            $timestamp = Get-Date -Format 'HH:mm:ss'
            Write-Host "[$timestamp] $_" -ForegroundColor $color
        }
}

# 实时监控应用日志
Watch-LogFile -Path "C:\Logs\app.log" -Pattern @('ERROR', 'FATAL', 'WARN', 'Exception')

执行结果示例:

1
2
3
4
5
6
7
监控中:C:\Logs\app.log
过滤规则:ERROR|FATAL|WARN|Exception
按 Ctrl+C 停止

2025-05-21 08:15:32 ERROR [DB] Connection timeout after 30s
2025-05-21 08:20:18 WARN [CACHE] Cache miss rate > 50%
[08:25:45] 2025-05-21 08:25:45 ERROR [API] Upstream timeout (504)

注意事项

  1. 大文件处理:对于 GB 级别的日志文件,使用 Get-Content -ReadCount 10000 分批读取,或使用 Select-String 直接搜索避免全部加载到内存
  2. 编码问题:日志文件可能使用不同编码(UTF-8、GBK、UTF-16),使用 Get-Content -Encoding 指定正确编码
  3. 正则性能:复杂正则表达式在大文件上可能很慢,先用简单模式缩小范围再精细匹配
  4. 时间格式:不同应用的日志时间格式各异(ISO 8601、自定义格式),解析时注意时区转换
  5. 日志轮转:生产环境日志通常会轮转压缩(如 app.log.2025-05-20.gz),分析时需要考虑跨文件查询
  6. 结构化日志:新项目建议使用 JSON Lines 或类似的结构化日志格式,解析效率远高于正则提取
发表更新powershell / tip24 分钟读完 (大约3554个字)

PowerShell 技能连载 - 错误处理与日志最佳实践

适用于 PowerShell 7.0 及以上版本

在编写生产级 PowerShell 脚本时,错误处理和日志记录往往是最容易被忽视、却又最为关键的环节。一段没有错误处理的脚本,在遇到网络超时、文件缺失或权限不足时,要么静默失败导致后续逻辑产生难以排查的连锁错误,要么直接崩溃让整个自动化流程中断。而缺乏日志的脚本则如同”黑盒”——出了问题只能靠猜测,无法追溯根因。

PowerShell 提供了丰富的错误处理机制,从基础的 $ErrorActionPreference 到完善的 try/catch/finally 结构,再到自定义错误记录和结构化日志输出。本文将系统性地介绍这些机制,并给出带重试逻辑的健壮脚本模板,帮助你在生产环境中写出更可靠的自动化代码。

终止错误与非终止错误的区别

PowerShell 将错误分为两类:终止错误(Terminating Error)非终止错误(Non-Terminating Error)。理解这两者的区别是正确使用错误处理机制的前提。

  • 终止错误:由 throw 语句、Write-Error -ErrorAction Stop 或 Cmdlet 的致命故障产生,会中断当前管道和脚本的执行,触发 catch 块。
  • 非终止错误:大多数 Cmdlet 在遇到可恢复问题(如删除一个不存在的文件)时产生,默认只写入错误流,脚本继续执行,不会触发 catch 块。

下面的示例演示了两种错误的行为差异:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# 非终止错误:Remove-Item 找不到文件,但脚本继续执行
Write-Host "=== 非终止错误演示 ==="
Remove-Item -Path "C:\NonExistentFile.txt" -ErrorAction Continue
Write-Host "脚本继续执行,非终止错误不会中断流程"

# 终止错误:throw 会立即中断执行并进入 catch
Write-Host "`n=== 终止错误演示 ==="
try {
    throw "这是一个终止错误,执行将被中断"
    Write-Host "这行不会执行"
}
catch {
    Write-Host "捕获到终止错误: $($_.Exception.Message)"
}
1
2
3
4
5
6
=== 非终止错误演示 ===
Remove-Item: Cannot find path 'C:\NonExistentFile.txt' because it does not exist.
脚本继续执行,非终止错误不会中断流程

=== 终止错误演示 ===
捕获到终止错误: 这是一个终止错误,执行将被中断

可以看到,非终止错误只是输出了一条红色警告,脚本依然继续往下跑;而终止错误则直接跳入了 catch 块,throw 之后的代码不会执行。

$ErrorActionPreference 与 -ErrorAction 参数

$ErrorActionPreference 是一个全局偏好变量,控制 PowerShell 对非终止错误的默认处理方式。而 -ErrorAction(缩写 -EA)是 Cmdlet 的通用参数,可以针对单条命令进行覆盖。

常用的值包括:SilentlyContinue(静默忽略)、Continue(默认,输出错误但继续)、Stop(将非终止错误升级为终止错误,触发 catch)和Ignore(完全忽略且不写入错误流)。

下面的示例展示了如何通过 -ErrorAction Stop 将非终止错误转为终止错误,从而被 try/catch 捕获:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
# 默认行为:非终止错误不会被 catch 捕获
Write-Host "=== 默认行为 ==="
try {
    Get-Item -Path "C:\NoSuchFolder\file.txt"
    Write-Host "这行会执行,因为默认是非终止错误"
}
catch {
    Write-Host "不会进入这里"
}

# 使用 -ErrorAction Stop:非终止错误升级为终止错误
Write-Host "`n=== 使用 -ErrorAction Stop ==="
try {
    Get-Item -Path "C:\NoSuchFolder\file.txt" -ErrorAction Stop
    Write-Host "这行不会执行"
}
catch {
    Write-Host "成功捕获: $($_.Exception.Message)"
}

# 全局设置 $ErrorActionPreference
$oldPref = $ErrorActionPreference
$ErrorActionPreference = 'Stop'
Write-Host "`n=== 全局 Stop 偏好 ==="
try {
    Get-Process -Name "NonExistentProcess" -ErrorAction SilentlyContinue
    Write-Host "单条命令 -EA SilentlyContinue 仍可覆盖全局设置"
}
catch {
    Write-Host "不会进入这里"
}
$ErrorActionPreference = $oldPref
1
2
3
4
5
6
7
8
9
=== 默认行为 ===
Get-Item: Cannot find path 'C:\NoSuchFolder\file.txt' because it does not exist.
这行会执行,因为默认是非终止错误

=== 使用 -ErrorAction Stop ===
成功捕获: Cannot find path 'C:\NoSuchFolder\file.txt' because it does not exist.

=== 全局 Stop 偏好 ===
单条命令 -EA SilentlyContinue 仍可覆盖全局设置

最佳实践:在需要精确控制错误行为时,优先使用单条命令的 -ErrorAction 参数,而非全局修改 $ErrorActionPreference。全局修改会影响作用域内所有命令,可能产生意料之外的副作用。

try/catch/finally 完整结构

try/catch/finally 是 PowerShell 中最结构化的错误处理方式。try 块中放置可能出错的代码,catch 块处理错误,finally 块无论是否出错都会执行,通常用于资源清理。

一个常见的误区是:catch 只能捕获终止错误。如果你希望捕获某个 Cmdlet 的非终止错误,必须配合 -ErrorAction Stop 使用。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
function Copy-LogFiles {
    param(
        [string]$SourcePath,
        [string]$DestinationPath
    )

    try {
        # 验证源目录是否存在
        if (-not (Test-Path -Path $SourcePath)) {
            throw "源目录不存在: $SourcePath"
        }

        # 确保目标目录存在
        if (-not (Test-Path -Path $DestinationPath)) {
            New-Item -ItemType Directory -Path $DestinationPath -Force |
                Out-Null
            Write-Host "已创建目标目录: $DestinationPath"
        }

        # 复制文件,-ErrorAction Stop 确保错误可被捕获
        $files = Get-ChildItem -Path $SourcePath -Filter "*.log" `
            -ErrorAction Stop
        $count = 0

        foreach ($file in $files) {
            Copy-Item -Path $file.FullName -Destination $DestinationPath `
                -Force -ErrorAction Stop
            $count++
        }

        Write-Host "成功复制 $count 个日志文件"
    }
    catch {
        Write-Error "复制日志文件失败: $($_.Exception.Message)"
        # 重新抛出,让调用者也能感知
        throw $_
    }
    finally {
        # 无论成功还是失败,都记录操作时间
        $timestamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss"
        Write-Host "[$timestamp] Copy-LogFiles 操作结束"
    }
}

# 测试:源目录不存在
Copy-LogFiles -SourcePath "C:\NoLogs" -DestinationPath "C:\Backup"
1
2
[2025-04-28 10:30:00] Copy-LogFiles 操作结束
Copy-LogFiles: 复制日志文件失败: 源目录不存在: C:\NoLogs

注意 finally 块在 throw 之前执行了——即使脚本因为 throw 而中断,finally 中的清理逻辑仍然会运行。这是释放数据库连接、关闭文件句柄等资源清理工作的理想位置。

自定义错误记录与错误视图

PowerShell 的 $Error 自动变量维护了一个错误列表(最近发生的错误在前)。通过 ErrorRecord 对象,我们可以获取丰富的错误上下文信息。此外,PowerShell 允许我们创建自定义的错误记录,以便在模块和大型脚本中提供更精确的错误分类。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
# 查看最近一次错误的详细信息
try {
    Get-Process -Name "DefinitelyNotARealProcess" -ErrorAction Stop
}
catch {
    $err = $_
    Write-Host "错误类型: $($err.CategoryInfo.Category)"
    Write-Host "错误原因: $($err.CategoryInfo.Reason)"
    Write-Host "目标对象: $($err.TargetObject)"
    Write-Host "完整消息: $($err.Exception.Message)"
    Write-Host "脚本堆栈: $($err.ScriptStackTrace)"
}

# 创建自定义错误记录
Write-Host "`n=== 自定义错误记录 ==="
$exception = [System.InvalidOperationException]::new(
    "配置文件版本不兼容,要求 v2.0,实际 v1.3"
)
$errorRecord = [System.Management.Automation.ErrorRecord]::new(
    $exception,
    "ConfigVersionMismatch",       # ErrorId
    [System.Management.Automation.ErrorCategory]::InvalidData,
    "config-v1.3"                  # TargetObject
)

Write-Host "自定义 ErrorId: $($errorRecord.FullyQualifiedErrorId)"
Write-Host "错误类别: $($errorRecord.CategoryInfo.Category)"
Write-Host "目标对象: $($errorRecord.TargetObject)"
1
2
3
4
5
6
7
8
9
10
错误类型: ObjectNotFound
错误原因: Get-Process
目标对象: DefinitelyNotARealProcess
完整消息: Cannot find a process with the name 'DefinitelyNotARealProcess'.
脚本堆栈: at <ScriptBlock>, <No file>: line 2

=== 自定义错误记录 ===
自定义 ErrorId: ConfigVersionMismatch
错误类别: InvalidData
目标对象: config-v1.3

自定义错误记录在编写可复用模块时特别有用。通过 FullyQualifiedErrorId,调用方可以精确地针对特定错误类型编写处理逻辑,而非依赖模糊的字符串匹配。

结构化日志输出

在生产环境中,零散的 Write-Host 输出很难被日志收集系统(如 ELK、Splunk)解析。结构化日志(Structured Logging)将每条日志输出为 JSON 格式,便于集中存储、检索和告警。

下面的函数封装了一个轻量级的结构化日志写入器,支持控制台彩色输出和 JSON 文件追加两种模式:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
function Write-StructuredLog {
    param(
        [Parameter(Mandatory)]
        [string]$Message,

        [ValidateSet('INFO', 'WARN', 'ERROR', 'DEBUG')]
        [string]$Level = 'INFO',

        [string]$LogPath = "$PSScriptRoot\app.log.json",

        [hashtable]$ExtraData = @{}
    )

    $entry = [ordered]@{
        timestamp = (Get-Date).ToString("o")
        level     = $Level
        message   = $Message
        script    = $MyInvocation.ScriptName
        line      = $MyInvocation.ScriptLineNumber
    }

    # 合并额外数据
    foreach ($key in $ExtraData.Keys) {
        $entry[$key] = $ExtraData[$key]
    }

    $jsonLine = $entry | ConvertTo-Json -Compress

    # 控制台带颜色输出
    $color = switch ($Level) {
        'ERROR' { 'Red' }
        'WARN'  { 'Yellow' }
        'DEBUG' { 'Gray' }
        default { 'White' }
    }
    Write-Host "[$Level] $Message" -ForegroundColor $color

    # 追加到 JSON 日志文件(每行一个 JSON 对象)
    $jsonLine | Add-Content -Path $LogPath -Encoding UTF8
}

# 使用示例
Write-StructuredLog -Message "开始执行数据同步" -Level 'INFO' `
    -ExtraData @{ source = "DB-01"; records = 1500 }

Write-StructuredLog -Message "连接超时,准备重试" -Level 'WARN' `
    -ExtraData @{ server = "api.example.com"; attempt = 1 }

Write-StructuredLog -Message "数据校验失败" -Level 'ERROR' `
    -ExtraData @{ table = "Orders"; failedRows = 23 }
1
2
3
[INFO] 开始执行数据同步
[WARN] 连接超时,准备重试
[ERROR] 数据校验失败

日志文件中每行是一个独立的 JSON 对象,这种格式(JSON Lines / NDJSON)可以直接被 jqConvertFrom-Json 或任何日志平台解析,无需处理嵌套数组结构。

带重试逻辑的健壮脚本模板

在真实的运维场景中,网络抖动、服务暂时不可用等问题是常态。一个健壮的脚本应该具备自动重试能力,而不是遇到第一次失败就放弃。下面的模板将 try/catch、结构化日志和指数退避重试整合在一起:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
function Invoke-WithRetry {
    param(
        [Parameter(Mandatory)]
        [scriptblock]$Action,

        [string]$Description = "操作",

        [int]$MaxRetries = 3,

        [int]$BaseDelaySeconds = 2,

        [double]$BackoffMultiplier = 2.0
    )

    $attempt = 0
    $lastError = $null

    while ($attempt -lt $MaxRetries) {
        $attempt++
        try {
            Write-Host "[$attempt/$MaxRetries] 正在执行: $Description"
            $result = & $Action
            Write-Host "[$attempt/$MaxRetries] 执行成功" `
                -ForegroundColor Green
            return $result
        }
        catch {
            $lastError = $_
            $delay = $BaseDelaySeconds *
                [Math]::Pow($BackoffMultiplier, $attempt - 1)

            Write-Host ("[$attempt/$MaxRetries] 执行失败: " +
                "$($_.Exception.Message)") -ForegroundColor Red

            if ($attempt -lt $MaxRetries) {
                Write-Host "  等待 $delay 秒后重试..." `
                    -ForegroundColor Yellow
                Start-Sleep -Seconds $delay
            }
        }
    }

    # 所有重试均失败
    Write-Host "已达到最大重试次数 ($MaxRetries),操作终止" `
        -ForegroundColor Red
    throw $lastError
}

# 使用示例:调用一个可能失败的 API
$result = Invoke-WithRetry -Description "调用用户数据接口" `
    -MaxRetries 3 -BaseDelaySeconds 2 -BackoffMultiplier 2.0 `
    -Action {
        $response = Invoke-RestMethod `
            -Uri "https://api.example.com/users" `
            -TimeoutSec 10 `
            -ErrorAction Stop
        return $response
    }

Write-Host "获取到 $($result.Count) 条用户记录"
1
2
3
4
5
6
7
8
9
[1/3] 正在执行: 调用用户数据接口
[1/3] 执行失败: The operation has timed out.
  等待 2 秒后重试...
[2/3] 正在执行: 调用用户数据接口
[2/3] 执行失败: The operation has timed out.
  等待 4 秒后重试...
[3/3] 正在执行: 调用用户数据接口
[3/3] 执行成功
获取到 42 条用户记录

指数退避(Exponential Backoff)的等待时间递增规律为:2s、4s、8s……这样做的好处是给远程服务足够的恢复时间,同时在首次失败后不会等太久。如果所有重试都失败,最后的 throw 确保错误会向上传递,调用方可以决定是否继续或中止整个流程。

综合实战:带日志和重试的文件同步脚本

将前面介绍的所有技术整合起来,下面是一个完整的文件同步脚本,涵盖结构化日志、try/catch/finally-ErrorAction Stop 和重试逻辑:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
function Sync-LogDirectory {
    param(
        [Parameter(Mandatory)]
        [string]$Source,

        [Parameter(Mandatory)]
        [string]$Destination,

        [int]$MaxRetries = 3
    )

    $syncResult = [ordered]@{
        startTime    = $null
        endTime      = $null
        copiedFiles  = 0
        failedFiles  = 0
        skippedFiles = 0
    }

    try {
        $syncResult.startTime = Get-Date -Format "o"

        # 验证源路径
        if (-not (Test-Path -Path $Source -ErrorAction Stop)) {
            throw "源路径不存在: $Source"
        }

        # 确保目标目录存在
        $null = New-Item -ItemType Directory -Path $Destination `
            -Force -ErrorAction Stop

        $files = Get-ChildItem -Path $Source -Filter "*.log" `
            -Recurse -ErrorAction Stop

        foreach ($file in $files) {
            $destFile = Join-Path $Destination $file.Name

            # 跳过已存在且未修改的文件
            if ((Test-Path $destFile) -and
                ($file.LastWriteTime -le
                 (Get-Item $destFile).LastWriteTime)) {
                $syncResult.skippedFiles++
                continue
            }

            # 带重试的文件复制
            try {
                Invoke-WithRetry -Description "复制 $($file.Name)" `
                    -MaxRetries $MaxRetries -Action {
                        Copy-Item -Path $file.FullName `
                            -Destination $destFile -Force `
                            -ErrorAction Stop
                    }
                $syncResult.copiedFiles++
            }
            catch {
                Write-Host "跳过文件 $($file.Name): " +
                    "$($_.Exception.Message)" -ForegroundColor Yellow
                $syncResult.failedFiles++
            }
        }
    }
    catch {
        Write-Host "同步过程中发生致命错误: " +
            "$($_.Exception.Message)" -ForegroundColor Red
        throw
    }
    finally {
        $syncResult.endTime = Get-Date -Format "o"
        Write-Host "`n--- 同步报告 ---"
        Write-Host ("开始时间: $($syncResult.startTime)")
        Write-Host ("结束时间: $($syncResult.endTime)")
        Write-Host ("复制成功: $($syncResult.copiedFiles) 个文件")
        Write-Host ("复制失败: $($syncResult.failedFiles) 个文件")
        Write-Host ("跳过文件: $($syncResult.skippedFiles) 个文件")
    }
}

# 执行同步
Sync-LogDirectory -Source "C:\Logs\App" `
    -Destination "D:\Backup\Logs"
1
2
3
4
5
6
7
8
9
10
11
[1/3] 正在执行: 复制 app-2025-04-27.log
[1/3] 执行成功
[1/3] 正在执行: 复制 app-2025-04-28.log
[1/3] 执行成功

--- 同步报告 ---
开始时间: 2025-04-28T10:15:00.0000000
结束时间: 2025-04-28T10:15:03.0000000
复制成功: 2 个文件
复制失败: 0 个文件
跳过文件: 5 个文件

这个脚本的核心设计思路是:外层 try/catch 处理整体流程的致命错误(如源路径不存在),内层 try/catch 处理单个文件的可恢复错误(跳过失败文件继续处理其余文件),finally 始终输出统计报告。这种”外层致命、内层宽容”的错误处理策略在批量操作场景中非常实用。

注意事项

  1. -ErrorAction Stop 是连接非终止错误与 try/catch 的桥梁:忘记加这个参数是最常见的错误处理遗漏,导致 catch 块形同虚设。
  2. 避免在 catch 中吞掉错误:如果 catch 块只是 Write-Host 而不 throw,调用方将无法感知失败。除非你明确要忽略某个已知错误,否则应当重新抛出。
  3. $Error 列表会不断增长:PowerShell 的 $Error 自动变量最多保留 256 条(可通过 $MaximumErrorCount 调整),在长时间运行的脚本中注意不要过度依赖它的顺序。
  4. 结构化日志的文件写入考虑并发:多进程同时写入同一个日志文件可能导致内容交错。在高并发场景下,考虑使用文件锁或集中式日志服务。
  5. 重试次数和退避策略需要根据场景调整:网络请求适合短间隔多次重试,数据库操作可能需要更长间隔。盲目重试可能加剧服务端压力。
  6. finally 块中避免抛出异常:如果 finally 中的代码也可能失败,务必用嵌套的 try/catch 保护,否则会掩盖原始错误。
关注我

链接

分类

最新文章

归档

标签

.net2
0day1
C#1
QQ4
aci1
acl3
active-directory3
ad3
ado-net1
advanced3
advanced-function3
agent1
ai13
ai-optimization1
alerting3
alerts1
analysis1
analytics1
angularjs3
animation1
anonymization1
ansible1
antivirus2
apache1
api3
api-management1
app-configuration1
app-registration1
app-service1
appz1
archive1
argument-completer1
arm-template1
asciiart1
ast1
async2
att&ck1
audit4
authentication1
auto-generation1
automation58
avd1
aws1
aws-tools1
az-module1
azure37
azure-ad4
azure-bastion1
azure-devops2
azure-functions3
azure-monitor1
azure-policy1
azuread1
backup3
basics1
batch3
benchmark1
best-practices6
bestpractice2
bicep1
billing2
bitwise1
blob2
block2
blog1
blue-green1
boards1
book1
breakpoint1
browser-automation3
bug1
c#1
career1
cdn2
centralized-logging1
certificate2
charting1
charts1
cheatsheet1
chocolatey1
ci-cd1
cicd5
cim3
class1
cli1
clipboard2
cloud12
cmd1
cmdlet1
code-analysis1
code-generation2
code-quality2
code-signing1
collaboration1
command3
community6
comparison1
compatibility1
compliance8
compression1
computervision1
concurrency1
conditional-access1
conditional-compilation1
config-management6
configuration7
configuration-as-code2
configuration-management2
confirm1
constrained-endpoint1
container5
container-apps2
container-registry1
containerization1
containers4
conversion1
copilot1
cosmosdb1
cost-management2
cost-optimization2
credential4
credentials2
crescendo1
cross-platform8
cryptography2
csharp1
css2
csv4
customization3
dashboard2
data-analysis1
data-collection1
data-masking1
data-migration1
data-parsing1
data-pipeline1
data-processing4
data-protection1
data-query1
data-science1
data-storage1
data-structure3
data-structures1
data-transformation1
data-visualization1
database7
datacenter1
datetime1
dba2
ddns1
debugging3
defender1
delicious3
dependency1
deployment3
desired-state1
dev-environment1
develop2
development4
device-compliance1
device-health1
device-management2
device-monitoring1
devops32
devsecops1
dhcp1
diagnostics5
dictionary1
diff1
digital-assets1
disaster-recovery1
disk-cleanup1
dns2
dns-records1
docker8
documentation1
dos1
dotfiles1
dotnet3
download5
dpapi1
drone1
dsc5
dynamic-loading1
dynamic-parameters1
ebook2
ecosystem1
ed2k1
edge-computing2
editor1
email1
embedded1
encoding2
encryption6
endpoint1
endpoint-protection1
energy-optimization1
entra-id6
enum1
env1
environment1
epplus1
error-handling6
ethereum1
etl3
event-driven1
event-forwarding1
event-grid1
event-handling3
event-log4
events2
excel3
execution-policy1
extended-type-system1
extension2
feature-flags1
file-server1
file-sync1
filesystem3
filesystem-abstraction1
filesystemwatcher1
firewall2
flags1
flow-control1
foreach-parallel1
forensics3
format-data1
front-end1
frontdoor1
function1
functions3
future1
gallery2
gateway1
geek30
git6
github-actions3
gitops1
governance2
gpo1
grafana1
graph-api2
green-computing2
group-policy1
gtd1
gui2
guide2
guideline11
gvim1
hardware3
hashing1
hashtable4
health-check2
healthcheck1
helm1
hexo1
high-availability1
holiday1
html4
html-parsing1
http3
http-server1
hybrid-cloud1
hyper-v1
iac4
icon1
ics1
ide2
identity-management1
iis2
images1
import-export1
importexcel1
incident-response1
industrial-iot1
infrastructure4
infrastructure-as-code3
integration1
intellisense1
interop5
intune1
inventory2
invoke-command1
ionic1
ip1
ip-address1
iso2
javascript7
jea2
jobs2
json5
jupyter1
k8s3
keyvault2
kql1
kubectl1
kubernetes7
language1
lateral-movement1
learning6
lesson1
link6
linq1
linting1
linux8
llm8
load-balancer1
local-llm3
log-analysis2
log-analytics1
loganalysis1
logging7
machine-learning1
macos2
maintainability1
malware1
managed-identity1
management2
markdown3
mcp1
mdm1
memory2
message-queue1
messaging1
metaprogramming1
metaverse2
metrics1
microservice1
microservices4
microsoft4
microsoft-graph5
mocking1
module9
module-development1
modules2
mongodb2
mongoose1
monitor1
monitoring15
monthly1
mqtt1
msi1
msmq1
multi-cloud2
multicloud1
multithreading1
mvp1
name-resolution1
native-api1
natural-language-processing1
network6
network-management1
network-share1
networking4
new-features1
new-year1
nlp1
node.js2
nodejs2
nosql3
notebooks1
notes1
notification2
ntfs1
nuget3
oauth21
object1
object-model1
objects2
observability5
obsidian1
office-3651
office3652
oh-my-posh3
ollama4
oop1
openai7
opentelemetry1
optimization9
oray1
orchestration1
outlook2
package-management8
packaging2
parallel4
parameters2
parser1
password-rotation1
patching2
path-handling1
pattern-matching1
patterns2
performance11
pester6
picture1
pinvoke1
pipeline10
pki1
planning1
plaster1
playwright2
pode1
policies1
policy1
polyglot1
port-forwarding1
powershell2358
powershell-72
powershell-gallery1
powershellget1
powertip2263
prediction1
predictive-maintenance1
preface1
print-server1
printer1
privacy1
private-endpoint1
privilege-escalation1
process1
process-analysis1
productivity9
profile1
profiling1
progress2
prometheus1
prompt1
prompt-engineering1
protocol1
proxy1
pscredential1
psgallery2
psmodule1
psprovider1
psreadline1
psresourceget2
psscriptanalyzer1
publishing1
qq2
quality1
quarterly1
queue1
rag1
reactive1
recording1
recovery1
red-team1
reflection2
regex9
register-engineevent1
registry5
regular-expression2
release3
remote1
remote-access1
remote-desktop1
remote-management2
remoting6
repack1
report1
reporting6
resource1
resource-orchestration1
rest-api6
review2
robocopy1
robustness1
role-capability1
rsync1
runbook1
runspace3
runspacepool1
runtime1
scaffolding2
scheduled-tasks2
scheduling2
schema2
scm1
scope3
script25
search1
secret1
secret-management3
secrets2
secure-coding1
securestring1
security39
security-monitoring1
security-policy1
selenium2
semver1
sentinel1
series2263
server2
server-management1
serverless6
service-bus1
service-management1
service-principal1
session-recording1
settings1
shouldprocess1
siem1
site-management2
skill4
smart-contract1
smb1
smo1
socket1
software1
software-deployment1
sp11
sql1
sql-database1
sql-server2
sqlite1
ssh5
stacktrace1
storage3
streaming3
string1
structured-logging2
study1
style1
summary1
supply-chain1
supplychain2
switch1
system-administration1
system-info2
system-interaction1
system-maintenance2
system-management1
tab-completion1
task-scheduler2
tcp3
tdd3
teams1
template2
terminal2
terraform4
testing6
text9
text-parsing1
text-processing4
threading1
threat-detection1
threat-hunting1
timespan1
timezone1
tip2262
tips1
tip个1
tls1
toml1
tool1
tool-use1
toolchain1
toolkit1
tracing1
transcript2
troubleshooting4
try-catch2
tunneling1
type-accelerator1
types2
uac1
udp1
ui2
ui-automation1
unit-test3
unmanaged-code1
update1
usability1
user-experience1
user-management2
validation2
variable1
variables2
vault2
vector-search1
version-control3
versioning1
video2
vim2
virtual-desktop1
virtual-environment1
virtual-machine2
virtual-network1
visualization1
visualstudio3
vm1
vmware1
vnet1
vscode2
vulnerability2
wac1
watcher1
web6
web-api1
web-request1
web-scraping3
web-server3
web31
webhook2
wef2
whatif1
win321
window1
windows9
windows-admin-center2
windows-defender1
windows-firewall1
windows-installer1
windows-server2
windows-service1
windows-terminal3
windows-update2
winget5
winrm2
wmi3
workflow1
wrapper1
write-progress1
wsl2
x5091
xampp2
xml4
xpath1
yaml3
year-end1
year-review2
zero-trust4
zerotrust2
zip1
×