New-WinEvent
Létrehoz egy új Windows-eseményt a megadott eseményszolgáltatóhoz.
Syntax
Default (Alapértelmezett)
New-WinEvent
[-ProviderName] <String>
[-Id] <Int32>
[-Version <Byte>]
[[-Payload] <Object[]>]
[<CommonParameters>]
Description
Ez a parancsmag csak a Windows platformon érhető el.
A New-WinEvent parancsmag eseménykövetést hoz létre a Windows (ETW) eseményhez egy eseményszolgáltató számára.
Ezzel a parancsmaggal eseményeket adhat hozzá az ETW-csatornákhoz a PowerShellből.
Példák
1. példa – Új esemény létrehozása
New-WinEvent -ProviderName Microsoft-Windows-PowerShell -Id 45090 -Payload @("Workflow", "Running")
Ez a parancs a New-WinEvent parancsmaggal hozza létre a 45090-s eseményt a Microsoft-Windows-PowerShell szolgáltató számára.
2. példa – Egy esemény sablonjának lekérése
Ebben a példában Get-WinEvent a 8007-as eseményazonosító sablonjának lekérésére szolgál a csoportházirend eseményszolgáltatójától. Figyelje meg, hogy az eseménynek két formátuma van.
A 0-s verzióban az IsMachine mező logikai érték. Az 1. verzióban az IsMachine mező egy aláíratlan egész szám.
(Get-WinEvent -ListProvider Microsoft-Windows-GroupPolicy).Events | Where-Object Id -eq 8007
Id : 8007
Version : 0
LogLink : System.Diagnostics.Eventing.Reader.EventLogLink
Level : System.Diagnostics.Eventing.Reader.EventLevel
Opcode : System.Diagnostics.Eventing.Reader.EventOpcode
Task : System.Diagnostics.Eventing.Reader.EventTask
Keywords : {}
Template : <template xmlns="http://schemas.microsoft.com/win/2004/08/events">
<data name="PolicyElaspedTimeInSeconds" inType="win:UInt32" outType="xs:unsignedInt"/>
<data name="ErrorCode" inType="win:UInt32" outType="win:HexInt32"/>
<data name="PrincipalSamName" inType="win:UnicodeString" outType="xs:string"/>
<data name="IsMachine" inType="win:Boolean" outType="xs:boolean"/>
<data name="IsConnectivityFailure" inType="win:Boolean" outType="xs:boolean"/>
</template>
Description : Completed periodic policy processing for user %3 in %1 seconds.
Id : 8007
Version : 1
LogLink : System.Diagnostics.Eventing.Reader.EventLogLink
Level : System.Diagnostics.Eventing.Reader.EventLevel
Opcode : System.Diagnostics.Eventing.Reader.EventOpcode
Task : System.Diagnostics.Eventing.Reader.EventTask
Keywords : {}
Template : <template xmlns="http://schemas.microsoft.com/win/2004/08/events">
<data name="PolicyElaspedTimeInSeconds" inType="win:UInt32" outType="xs:unsignedInt"/>
<data name="ErrorCode" inType="win:UInt32" outType="win:HexInt32"/>
<data name="PrincipalSamName" inType="win:UnicodeString" outType="xs:string"/>
<data name="IsMachine" inType="win:UInt32" outType="xs:unsignedInt"/>
<data name="IsConnectivityFailure" inType="win:Boolean" outType="xs:boolean"/>
</template>
Description : Completed periodic policy processing for user %3 in %1 seconds.
A Description tulajdonság tartalmazza az eseménynaplóba írt üzenetet. A %3 és %1 érték a sablonba átadott értékek helyőrzői. A %3 sztringet a rendszer a PrincipalSamName mezőnek átadott értékre cseréli. A %1 sztring helyébe a PolicyElaspedTimeInSeconds mezőnek átadott érték lép.
3. példa – Új esemény létrehozása verziószámozott sablonnal
Ez a példa bemutatja, hogyan hozhat létre eseményt egy adott sablonverzióval.
$Payload = @(300, [uint32]'0x8001011f', $env:USERNAME, 0, 1)
New-WinEvent -ProviderName Microsoft-Windows-GroupPolicy -Id 8007 -Version 1 -Payload $Payload
Get-winEvent -ProviderName Microsoft-Windows-GroupPolicy -MaxEvents 1
ProviderName: Microsoft-Windows-GroupPolicy
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
5/4/2022 8:40:24 AM 8007 Information Completed periodic policy processing for user User1 in 300 seconds
Ha a hasznos adatok értékei nem egyeznek a sablonban szereplő típusokkal, a rendszer naplózza az eseményt, de a hasznos adatok hibát tartalmaznak.
Paraméterek
-Id
Az eseményszolgáltatóban regisztrált eseményazonosítót adja meg.
Paramétertulajdonságok
| Típus: | Int32 |
| Alapértelmezett érték: | None |
| Támogatja a helyettesítő karaktereket: | False |
| DontShow: | False |
Paraméterkészletek
(All)
| Position: | 1 |
| Kötelező: | True |
| Folyamatból származó érték: | False |
| Folyamatból származó érték tulajdonságnév alapján: | False |
| Fennmaradó argumentumokból származó érték: | False |
-Payload
A hasznos adat az eseménysablonnak helyargumentumként átadott értékek tömbje. Az értékek be lesznek szúrva a sablonba az esemény üzenetének létrehozásához. Az események több sablonverzióval is rendelkezhetnek, amelyek különböző formátumokat használnak.
Ha a hasznos adatok értékei nem egyeznek a sablonban szereplő típusokkal, a rendszer naplózza az eseményt, de a hasznos adatok hibát tartalmaznak.
Paramétertulajdonságok
| Típus: | Object[] |
| Alapértelmezett érték: | None |
| Támogatja a helyettesítő karaktereket: | False |
| DontShow: | False |
Paraméterkészletek
(All)
| Position: | 2 |
| Kötelező: | False |
| Folyamatból származó érték: | False |
| Folyamatból származó érték tulajdonságnév alapján: | False |
| Fennmaradó argumentumokból származó érték: | False |
-ProviderName
Megadja azt az eseményszolgáltatót, amely egy eseménynaplóba írja az eseményt, például a "Microsoft-Windows-PowerShell". Az ETW-eseményszolgáltató egy logikai entitás, amely eseményeket ír az ETW-munkamenetekbe.
Paramétertulajdonságok
| Típus: | String |
| Alapértelmezett érték: | None |
| Támogatja a helyettesítő karaktereket: | False |
| DontShow: | False |
Paraméterkészletek
(All)
| Position: | 0 |
| Kötelező: | True |
| Folyamatból származó érték: | False |
| Folyamatból származó érték tulajdonságnév alapján: | False |
| Fennmaradó argumentumokból származó érték: | False |
-Version
Az esemény verziószámát adja meg. A PowerShell a számot a szükséges bájttípussá alakítja. Az érték az esemény verzióját adja meg, ha ugyanazon esemény különböző verziói vannak definiálva.
Paramétertulajdonságok
| Típus: | Byte |
| Alapértelmezett érték: | None |
| Támogatja a helyettesítő karaktereket: | False |
| DontShow: | False |
Paraméterkészletek
(All)
| Position: | Named |
| Kötelező: | False |
| Folyamatból származó érték: | False |
| Folyamatból származó érték tulajdonságnév alapján: | False |
| Fennmaradó argumentumokból származó érték: | False |
CommonParameters
Ez a parancsmag a következő gyakori paramétereket támogatja: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction és -WarningVariable. További információért lásd about_CommonParameters.
Bevitelek
None
Ehhez a parancsmaghoz nem lehet objektumokat csövezni.
Kimenetek
None
Ez a parancsmag nem ad vissza kimenetet.
Jegyzetek
Miután a szolgáltató egy eseménynaplóba írja az eseményt, a Get-WinEvent parancsmaggal lekérheti az eseményt az eseménynaplóból.