PowerShell 技能连载 - 评估事件日志数据(第 1 部分)
事件日志包含有关 Windows 系统几乎所有方面的非常有用的信息。但是,在使用已弃用的 Get-EventLog
cmdlet 时,只能访问此信息的一小部分,因为此 cmdlet 只能访问较旧的经典日志。这就是该 cmdlet 从 PowerShell 7 中完全删除的原因。
在 PowerShell 3 中,添加了一个更快、更强大的替代 cmdlet:et-WinEvent
。此 cmdlet 可以根据哈希表中提供的查询项过滤任何日志文件。
例如,此行代码转储所有事件日志文件中由 Windows Update Client 使用事件 ID 19 写入的所有事件:
1 | Get-WinEvent -FilterHashTable @{ |
结果是已安装更新的列表:
TimeCreated Message
----------- -------
05.05.2021 18:13:34 Installation erfolgreich: Das folgende Update wurde installiert. Security Intelligence-Update für
Microsoft Defender Antivirus - KB2267602 (Version 1.337.679.0)
05.05.2021 00:11:33 Installation erfolgreich: Das folgende Update wurde installiert. Security Intelligence-Update für
Microsoft Defender Antivirus - KB2267602 (Version 1.337.615.0)
04.05.2021 12:07:03 Installation erfolgreich: Das folgende Update wurde installiert. Security Intelligence-Update für
Microsoft Defender Antivirus - KB2267602 (Version 1.337.572.0)
03.05.2021 23:54:58 Installation erfolgreich: Das folgende Update wurde installiert. Security Intelligence-Update für
Microsoft Defender Antivirus - KB2267602 (Version 1.337.528.0)
...
PowerShell 技能连载 - 评估事件日志数据(第 1 部分)
http://blog.vichamp.com/2021/06/02/evaluating-event-log-data-part-1/