PowerShell 技能连载 - 屏蔽终止性错误

有时候,您会注意到虽然已经为 -ErrorAction 参数指定了 "SilentlyContinue" 值,cmdlet 还是会抛出错误。

-ErrorAction 参数只能隐藏非终止性错误(原本被 cmdlet 处理的错误)。不被 cmdlet 处理的错误称为“终止性错误”。这些错误通常是和安全相关的,并且不能被 -ErrorAction 屏蔽。

所以如果您是一个非管理员用户,虽然用 -ErrorAction 指定了屏蔽错误,以下调用将会抛出一个异常:

要屏蔽终止性错误,您必须使用异常处理器:

try
{
  Get-EventLog -LogName Security
}
catch
{}

PowerShell 技能连载 - 从所有事件日志中获取全部事件

最近,一个读者咨询如何从所有事件日志中获取全部事件,并且能将它们保存到文件中。

以下是一个可能的解决方案:

# calculate start time (one hour before now)
$Start = (Get-Date) - (New-Timespan -Hours 1)
$Computername = $env:COMPUTERNAME

# Getting all event logs
Get-EventLog -AsString -ComputerName $Computername |
  ForEach-Object {
    # write status info
    Write-Progress -Activity "Checking Eventlogs on \\$ComputerName" -Status $_

    # get event entries and add the name of the log this came from
    Get-EventLog -LogName $_ -EntryType Error, Warning -After $Start -ComputerName $ComputerName -ErrorAction SilentlyContinue |
      Add-Member NoteProperty EventLog $_ -PassThru

  } |
  # sort descending
  Sort-Object -Property TimeGenerated -Descending |
  # select the properties for the report
  Select-Object EventLog, TimeGenerated, EntryType, Source, Message |
  # output into grid view window
  Out-GridView -Title "All Errors & Warnings from \\$Computername"

在这个脚本的顶部,您可以设置希望查询的远程主机,以及希望获取的最近小时数。

接下来,这个脚本获取该机器上所有可用的日志文件,然后用一个循环来获取指定时间区间中的错误和警告记录。要想知道哪个事件是来自哪个日志文件,脚本还用 Add-Member 为日志记录添加了一个新的“EventLog”属性。

脚本的执行结果是在一个网格视图的窗口中显示一小时之内的所有错误和警告事件。如果将 Out-GridView 改为 Out-FileExport-Csv 将可以把信息保存到磁盘。

请注意远程操作需要 Administrator 特权。远程操作可能需要额外的安全设置。另外,请注意如果以非 Administrator 身份运行该代码,将会收到红色的错误提示信息(因为某些日志,比如说“安全”需要特殊的操作权限)。

PowerShell 技能连载 - 高效运行后台任务

如前一个技巧所述,用后台任务来同步运行任务往往效率不高。当后台任务返回的数据量增加时,它的执行性能变得更差。

一个更高效的办法是用进程内任务。它们在同一个 PowerShell 实例内部的不同线程中独立运行,所以不需要将返回值序列化。

以下是一个用 PowerShell 线程功能,运行两个后台线程和一个前台线程的例子。为了使任务真正长时间运行,我们为每个任务在业务代码之外使用了 Start-Sleep 命令:

$start = Get-Date

$task1 = { Start-Sleep -Seconds 4; Get-Service }
$task2 = { Start-Sleep -Seconds 5; Get-Service }
$task3 = { Start-Sleep -Seconds 3; Get-Service }

# run 2 in separate threads, 1 in the foreground
$thread1 = [PowerShell]::Create()
$job1 = $thread1.AddScript($task1).BeginInvoke()

$thread2 = [PowerShell]::Create()
$job2 = $thread2.AddScript($task2).BeginInvoke()

$result3 = Invoke-Command -ScriptBlock $task3

do { Start-Sleep -Milliseconds 100 } until ($job1.IsCompleted -and $job2.IsCompleted)

$result1 = $thread1.EndInvoke($job1)
$result2 = $thread2.EndInvoke($job2)

$thread1.Runspace.Close()
$thread1.Dispose()

$thread2.Runspace.Close()
$thread2.Dispose()

$end = Get-Date
Write-Host -ForegroundColor Red ($end - $start).TotalSeconds

如果依次执行这三个任务,分别执行 Start-Sleep 语句将至少消耗 12 秒。事实上该脚本只消耗 5 秒多一点。处理结果分别为 $result1$result2$result3。相对后台任务而言,返回大量数据基本不会造成时间消耗。

PowerShell 技能连载 - PowerShell 中的并行处理

如果想提升一个脚本的执行速度,您也许会发现后台任务十分有用。它们适用于做大量并发处理的脚本。

PowerShell 是单线程的,一个时间只能处理一件事。使用后台任务时,后台会创建额外的 PowerShell 进程并且共享负荷。这只在任务彼此独立,并且后台任务不产生很多数据的情况下能很好地工作。从后台任务中发回数据是一个开销很大的过程,并且很有可能把节省出来的时间给消耗了,导致脚本执行起来反而更慢。

以下是三个可以并发执行的任务:

$start = Get-Date

# get all hotfixes
$task1 = { Get-Hotfix }

# get all scripts in your profile
$task2 = { Get-Service | Where-Object Status -eq Running }

# parse log file
$task3 = { Get-Content -Path $env:windir\windowsupdate.log | Where-Object { $_ -like '*successfully installed*' } }

# run 2 tasks in the background, and 1 in the foreground task
$job1 =  Start-Job -ScriptBlock $task1
$job2 =  Start-Job -ScriptBlock $task2
$result3 = Invoke-Command -ScriptBlock $task3

# wait for the remaining tasks to complete (if not done yet)
$null = Wait-Job -Job $job1, $job2

# now they are done, get the results
$result1 = Receive-Job -Job $job1
$result2 = Receive-Job -Job $job2

# discard the jobs
Remove-Job -Job $job1, $job2

$end = Get-Date
Write-Host -ForegroundColor Red ($end - $start).TotalSeconds

在一个测试环境中,执行所有三个任务消耗 5.9 秒。三个任务的结果分别保存到 $result1,$result2,$result3。

我们测试一下三个任务在前台顺序执行所消耗的时间:

$start = Get-Date

# get all hotfixes
$task1 = { Get-Hotfix }

# get all scripts in your profile
$task2 = { Get-Service | Where-Object Status -eq Running }

# parse log file
$task3 = { Get-Content -Path $env:windir\windowsupdate.log | Where-Object { $_ -like '*successfully installed*' } }

# run them all in the foreground:
$result1 = Invoke-Command -ScriptBlock $task1
$result2 = Invoke-Command -ScriptBlock $task2
$result3 = Invoke-Command -ScriptBlock $task3

$end = Get-Date
Write-Host -ForegroundColor Red ($end - $start).TotalSeconds

这段代码仅仅执行了 5.05 秒。所以后台任务只对于长期运行并且各自占用差不多时间的任务比较有效。由于这三个测试任务返回了大量的数据,所以并发执行带来的好处差不多被将执行结果序列化并传回前台进程的过程给抵消掉了。

PowerShell 技能连载 - 将 Tick 转换为真实的日期

Active Directory 内部使用 tick (从 1601 年起的百纳秒数)来表示日期和时间。在以前,要将这个大数字转换为人类可读的日期和时间是很困难的。以下是一个很简单的办法:

[DateTime]::FromFileTime(635312826377934727)

类似地,要将一个日期转换为 tick 数,使用以下方法:

PowerShell 技能连载 - 记录脚本的运行时间

如果您想记录脚本的运行时间,您可以使用 Measure-Command,但是这个 cmdlet 仅适合诊断目的,并且没有计算输出时间。

另一种方法是创建两个快照,并且在结束时计算时间差。

这段代码将告诉您 Get-Hotfix cmdlet 的执行时间,包括输出数据的时间:

$start = Get-Date

Get-HotFix

$end = Get-Date
Write-Host -ForegroundColor Red ('Total Runtime: ' + ($end - $start).TotalSeconds)

PowerShell 技能连载 - 修正 Excel CSV 的编码

当您将 Microsoft Excel 的数据保存为 CSV 格式时,很不幸的是保存的编码和 Import-Csv 的缺省编码并不匹配。所以当您将 CSV 文件导入 PowerShell 时,无论您指定哪种编码,特殊字符都会变成乱码。

以下是一个我从 Excel 导出的 list.csv 文件,它包含一些特殊字符。如果您使用缺省编码,特殊字符会变成乱码,并且如果您指定了 -Encoding 参数,无论您传什么值,特殊字符都不会显示回原来正常的状态:

当您模拟在这些场景中 Import-Csv 的行为时,它很意外地可以完美处理:

这说明要正确地读取 Excel CSV 文件,您必须显式地指定“缺省”编码(这引出了一个问题:当您未指定编码的时候,缺省使用的是什么编码):

PowerShell 技能连载 - 读取整个文本文件

您可以用 Get-Content 来读入整个文本文件。但是,Get-Content 是逐行返回文件的内容,您得到的是一个 string 数组,并且换行符被去掉了。

要一次性读取整个文本文件,从 PowerShell 3.0 开始,您可以使用 -Raw 参数(它还有个好处,能够大大加快读取文件的速度)。

所以通过以下代码您可以获得一个字符串数组,每个元素是一行文本:

Length 属性表示文件的行数。

以下代码一次性读取整个文本文件,返回单个字符串:

这回,Length 属性表示整个文件的字符数,并且读取文件的速度大大提高(虽然也更占内存了)。

那种方法更好?这取决于您要如何使用这些数据。

PowerShell 技能连载 - 存储秘密数据

如果您想以只有您能获取的方式保存敏感数据,您可以使用这个有趣的方法:将明文转换成密文,需要时将密文转换回明文,并将它保存到磁盘中:

$storage = "$env:temp\secretdata.txt"
$mysecret = 'Hello, I am safe.'

$mysecret |
  ConvertTo-SecureString -AsPlainText -Force |
  ConvertFrom-SecureString |
  Out-File -FilePath $storage

当您打开该文件的时候,它读起来像这个样子:

您的秘密被 Windows 自带的数据保护 API(DPAPI) 用您的身份和机器作为密钥加密。所以只有您(或任何以您的身份运行的进程)可以将该密文解密,而且只能在加密时所用的计算机上解密。

要得到明文,请使用这段代码:

$storage = "$env:temp\secretdata.txt"
$secureString = Get-Content -Path $storage |
  ConvertTo-SecureString

$ptr = [System.Runtime.InteropServices.Marshal]::SecureStringToGlobalAllocUnicode($secureString)
$mysecret = [System.Runtime.InteropServices.Marshal]::PtrToStringUni($ptr)

$mysecret

它可以正常使用——您可以获得和加密前一模一样的文本。

现在,以其他人的身份试一下。您会发现其他人无法解密该加密文件。而且您在别的机器上也无法解密。

PowerShell 技能连载 - 使用加密文件系统(EFS)来保护密码

如果您必须在脚本中以硬编码的方式包含密码和其它隐私信息(正常情况下应避免使用),那么您还可以通过 EFS(加密文件系统)的方式来保障安全性。加密的脚本只能被加密者读取(和执行),所以只有您在自己的机器上能运行该脚本。

一下是加密一个 PowerShell 脚本的简单方法:

# create some sample script
# replace path with some real-world existing script if you want
# and remove the line that creates the script
$path = "$env:temp\test.ps1"
"Write-Host 'I run only for my master.'" > $path

$file = Get-Item -Path $path
$file.Encrypt()

当您运行这段脚本时,它将在您的临时文件夹中创建一个用 EFS 加密的新的 PowerShell 脚本(如果您见到一条错误提示信息,那么很有可能您机器上的 EFS 不可用或者被禁用了)。

加密之后,该文件在 Windows 资源管理器中呈现绿色,并且只有您能够运行它。别人无法看见源代码。

请注意在许多企业环境中,EFS 系统是通过恢复密钥部署的。指定的维护人员可以通过主密钥解密文件。如果没有主密钥,一旦您丢失了您的 EFS 证书,就连您也无法查看或运行加密的脚本。