Get-EventLog
Mendapatkan peristiwa dalam log peristiwa, atau daftar log peristiwa, pada komputer lokal atau komputer jarak jauh.
Sintaks
LogName (Default)
Get-EventLog
[-LogName] <String>
[[-InstanceId] <Int64[]>]
[-ComputerName <String[]>]
[-Newest <Int32>]
[-After <DateTime>]
[-Before <DateTime>]
[-UserName <String[]>]
[-Index <Int32[]>]
[-EntryType <String[]>]
[-Source <String[]>]
[-Message <String>]
[-AsBaseObject]
[<CommonParameters>]
List
Get-EventLog
[-ComputerName <String[]>]
[-List]
[-AsString]
[<CommonParameters>]
Deskripsi
cmdlet Get-EventLog mendapatkan log peristiwa dan peristiwa dari komputer lokal dan jarak jauh. Secara default, Get-EventLog mendapatkan log dari komputer lokal. Untuk mendapatkan log dari komputer jarak jauh, gunakan parameter
Anda dapat menggunakan parameter Get-EventLog dan nilai properti untuk mencari peristiwa. Cmdlet mendapatkan peristiwa yang cocok dengan nilai properti yang ditentukan.
Cmdlet PowerShell yang berisi pekerjaan kata benda EventLog hanya pada log peristiwa klasik Windows seperti Aplikasi, Sistem, atau Keamanan. Untuk mendapatkan log yang menggunakan teknologi Log Peristiwa Windows di Windows Vista dan versi Windows yang lebih baru, gunakan Get-WinEvent.
Nota
Get-EventLog menggunakan API Win32 yang tidak digunakan lagi. Hasilnya mungkin tidak akurat. Gunakan cmdlet Get-WinEvent sebagai gantinya.
Contoh
Contoh 1: Mendapatkan log peristiwa di komputer lokal
Contoh ini menampilkan daftar log peristiwa yang tersedia di komputer lokal. Nama di kolom Log digunakan dengan parameter
Get-EventLog -List
Max(K) Retain OverflowAction Entries Log
------ ------ -------------- ------- ---
15,168 0 OverwriteAsNeeded 20,792 Application
15,168 0 OverwriteAsNeeded 12,559 System
15,360 0 OverwriteAsNeeded 11,173 Windows PowerShell
Cmdlet
Contoh 2: Dapatkan entri terbaru dari log peristiwa di komputer lokal
Contoh ini mendapatkan entri terbaru dari log peristiwa Sistem.
Get-EventLog -LogName System -Newest 5
Index Time EntryType Source InstanceID Message
----- ---- --------- ------ ---------- -------
13820 Jan 17 19:16 Error DCOM 10016 The description for Event...
13819 Jan 17 19:08 Error DCOM 10016 The description for Event...
13818 Jan 17 19:06 Information Service Control... 1073748864 The start type of the Back...
13817 Jan 17 19:05 Error DCOM 10016 The description for Event...
13815 Jan 17 19:03 Information Microsoft-Windows... 35 The time service is now sync...
Cmdlet
Contoh 3: Temukan semua sumber untuk sejumlah entri tertentu dalam log peristiwa
Contoh ini menunjukkan cara menemukan semua sumber yang disertakan dalam 1000 entri terbaru dalam log peristiwa Sistem.
$Events = Get-EventLog -LogName System -Newest 1000
$Events | Group-Object -Property Source -NoElement | Sort-Object -Property Count -Descending
Count Name
----- ----
110 DCOM
65 Service Control Manager
51 Microsoft-Windows-Kern...
14 EventLog
14 BTHUSB
13 Win32k
Cmdlet $Events. Objek $Events dikirimkan alur ke cmdlet Group-Object.
Contoh 4: Mendapatkan peristiwa kesalahan dari log peristiwa tertentu
Contoh ini mendapatkan peristiwa kesalahan dari log peristiwa Sistem.
Get-EventLog -LogName System -EntryType Error
Index Time EntryType Source InstanceID Message
----- ---- --------- ------ ---------- -------
13296 Jan 16 13:53 Error DCOM 10016 The description for Event ID '10016' in Source...
13291 Jan 16 13:51 Error DCOM 10016 The description for Event ID '10016' in Source...
13245 Jan 16 11:45 Error DCOM 10016 The description for Event ID '10016' in Source...
13230 Jan 16 11:07 Error DCOM 10016 The description for Event ID '10016' in Source...
Cmdlet
Contoh 5: Mendapatkan peristiwa dari log peristiwa dengan nilai InstanceId dan Source
Contoh ini mendapatkan peristiwa dari log Sistem untuk InstanceId dan Sumber tertentu.
Get-EventLog -LogName System -InstanceId 10016 -Source DCOM
Index Time EntryType Source InstanceID Message
----- ---- --------- ------ ---------- -------
13245 Jan 16 11:45 Error DCOM 10016 The description for Event ID '10016' in Source...
13230 Jan 16 11:07 Error DCOM 10016 The description for Event ID '10016' in Source...
13219 Jan 16 10:00 Error DCOM 10016 The description for Event ID '10016' in Source...
Cmdlet
Contoh 6: Mendapatkan peristiwa dari beberapa komputer
Perintah ini mendapatkan peristiwa dari log peristiwa Sistem di tiga komputer: Server01, Server02, dan Server03.
Get-EventLog -LogName System -ComputerName Server01, Server02, Server03
Cmdlet
Contoh 7: Mendapatkan semua peristiwa yang menyertakan kata tertentu dalam pesan
Perintah ini mendapatkan semua peristiwa dalam log peristiwa Sistem yang berisi kata tertentu dalam pesan peristiwa. Ada kemungkinan bahwa nilai parameter Message yang ditentukan disertakan dalam konten pesan tetapi tidak ditampilkan di konsol PowerShell.
Get-EventLog -LogName System -Message *description*
Index Time EntryType Source InstanceID Message
----- ---- --------- ------ ---------- -------
13821 Jan 17 19:17 Error DCOM 10016 The description for Event ID '10016'...
13820 Jan 17 19:16 Error DCOM 10016 The description for Event ID '10016'...
13819 Jan 17 19:08 Error DCOM 10016 The description for Event ID '10016'...
Cmdlet
Contoh 8: Menampilkan nilai properti peristiwa
Contoh ini menunjukkan cara menampilkan semua properti dan nilai peristiwa.
$A = Get-EventLog -LogName System -Newest 1
$A | Select-Object -Property *
EventID : 10016
MachineName : localhost
Data : {}
Index : 13821
Category : (0)
CategoryNumber : 0
EntryType : Error
Message : The description for Event ID '10016' in Source 'DCOM'...
Source : DCOM
ReplacementStrings : {Local,...}
InstanceId : 10016
TimeGenerated : 1/17/2019 19:17:23
TimeWritten : 1/17/2019 19:17:23
UserName : username
Site :
Container :
Cmdlet $A. Objek dalam variabel $A dikirimkan alur ke cmdlet Select-Object.
Contoh 9: Mendapatkan peristiwa dari log peristiwa menggunakan SUMBER dan ID peristiwa
Contoh ini mendapatkan peristiwa untuk Sumber dan ID Peristiwa tertentu.
Get-EventLog -LogName Application -Source Outlook | Where-Object {$_.EventID -eq 63} |
Select-Object -Property Source, EventID, InstanceId, Message
Source EventID InstanceId Message
------ ------- ---------- -------
Outlook 63 1073741887 The Exchange web service request succeeded.
Outlook 63 1073741887 Outlook detected a change notification.
Outlook 63 1073741887 The Exchange web service request succeeded.
Cmdlet Where-Object. Untuk setiap objek dalam alur, cmdlet Where-Object menggunakan variabel $_.EventID untuk membandingkan properti ID Peristiwa dengan nilai yang ditentukan. Objek dikirim ke alur ke cmdlet Select-Object.
Contoh 10: Mendapatkan peristiwa dan grup menurut properti
Get-EventLog -LogName System -UserName NT* | Group-Object -Property UserName -NoElement |
Select-Object -Property Count, Name
Count Name
----- ----
6031 NT AUTHORITY\SYSTEM
42 NT AUTHORITY\LOCAL SERVICE
4 NT AUTHORITY\NETWORK SERVICE
Cmdlet Group-Object. Select-Object.
Contoh 11: Dapatkan peristiwa yang terjadi selama rentang tanggal dan waktu tertentu
Contoh ini mendapatkan peristiwa Kesalahan dari log peristiwa Sistem untuk rentang tanggal dan waktu tertentu. Parameter Sebelum dan Setelah mengatur rentang tanggal dan waktu tetapi dikecualikan dari output.
$Begin = Get-Date -Date '1/17/2019 08:00:00'
$End = Get-Date -Date '1/17/2019 17:00:00'
Get-EventLog -LogName System -EntryType Error -After $Begin -Before $End
Index Time EntryType Source InstanceID Message
----- ---- --------- ------ ---------- -------
13821 Jan 17 13:40 Error DCOM 10016 The description for Event ID...
13820 Jan 17 13:11 Error DCOM 10016 The description for Event ID...
...
12372 Jan 17 10:08 Error DCOM 10016 The description for Event ID...
12371 Jan 17 09:04 Error DCOM 10016 The description for Event ID...
Cmdlet $Begin dan parameter Sebelum dan variabel $End.
Parameter
-After
Mendapatkan peristiwa yang terjadi setelah tanggal dan waktu tertentu.
Setelah tanggal dan waktu parameter dikecualikan dari output. Masukkan objek DateTime
Properti parameter
| Jenis: | DateTime |
| Nilai default: | None |
| Mendukung wildcard: | False |
| DontShow: | False |
Kumpulan parameter
LogName
| Position: | Named |
| Wajib: | False |
| Nilai dari alur: | False |
| Nilai dari alur berdasarkan nama properti: | False |
| Nilai dari argumen yang tersisa: | False |
-AsBaseObject
Menunjukkan bahwa cmdlet ini mengembalikan objek System.Diagnostics.EventLogEntry standar untuk setiap peristiwa. Tanpa parameter ini,
Untuk melihat efek parameter ini, pipa peristiwa ke cmdlet Get-Member dan periksa nilai TypeName dalam hasilnya.
Properti parameter
| Jenis: | SwitchParameter |
| Nilai default: | None |
| Mendukung wildcard: | False |
| DontShow: | False |
Kumpulan parameter
LogName
| Position: | Named |
| Wajib: | False |
| Nilai dari alur: | False |
| Nilai dari alur berdasarkan nama properti: | False |
| Nilai dari argumen yang tersisa: | False |
-AsString
Menunjukkan bahwa cmdlet ini mengembalikan output sebagai string, bukan objek.
Properti parameter
| Jenis: | SwitchParameter |
| Nilai default: | None |
| Mendukung wildcard: | False |
| DontShow: | False |
Kumpulan parameter
List
| Position: | Named |
| Wajib: | False |
| Nilai dari alur: | False |
| Nilai dari alur berdasarkan nama properti: | False |
| Nilai dari argumen yang tersisa: | False |
-Before
Mendapatkan peristiwa yang terjadi sebelum tanggal dan waktu tertentu. Tanggal dan waktu parameter Sebelum dikecualikan dari output. Masukkan objek DateTime
Properti parameter
| Jenis: | DateTime |
| Nilai default: | None |
| Mendukung wildcard: | False |
| DontShow: | False |
Kumpulan parameter
LogName
| Position: | Named |
| Wajib: | False |
| Nilai dari alur: | False |
| Nilai dari alur berdasarkan nama properti: | False |
| Nilai dari argumen yang tersisa: | False |
-ComputerName
Parameter ini menentukan nama NetBIOS komputer jarak jauh, alamat Protokol Internet (IP), atau nama domain yang sepenuhnya memenuhi syarat (FQDN).
Jika parameter ComputerName tidak ditentukan, Get-EventLog default ke komputer lokal. Parameter juga menerima titik (.) untuk menentukan komputer lokal.
Parameter Get-EventLog dengan parameter ComputerName meskipun komputer Anda tidak dikonfigurasi untuk menjalankan perintah jarak jauh.
Properti parameter
| Jenis: | String[] |
| Nilai default: | None |
| Mendukung wildcard: | False |
| DontShow: | False |
| Alias: | Cn |
Kumpulan parameter
(All)
| Position: | Named |
| Wajib: | False |
| Nilai dari alur: | False |
| Nilai dari alur berdasarkan nama properti: | False |
| Nilai dari argumen yang tersisa: | False |
-EntryType
Menentukan, sebagai array string, jenis entri peristiwa yang didapat cmdlet ini.
Nilai yang dapat diterima untuk parameter ini adalah:
- Kesalahan
- Informasi
- Audit Kegagalan
- Audit Keberhasilan
- Peringatan
Properti parameter
| Jenis: | String[] |
| Nilai default: | None |
| Nilai yang diterima: | Error, Information, FailureAudit, SuccessAudit, Warning |
| Mendukung wildcard: | False |
| DontShow: | False |
| Alias: | ET |
Kumpulan parameter
LogName
| Position: | Named |
| Wajib: | False |
| Nilai dari alur: | False |
| Nilai dari alur berdasarkan nama properti: | False |
| Nilai dari argumen yang tersisa: | False |
-Index
Menentukan nilai indeks yang akan didapatkan dari log peristiwa. Parameter menerima string nilai yang dipisahkan koma.
Properti parameter
| Jenis: | Int32[] |
| Nilai default: | None |
| Mendukung wildcard: | False |
| DontShow: | False |
Kumpulan parameter
LogName
| Position: | Named |
| Wajib: | False |
| Nilai dari alur: | False |
| Nilai dari alur berdasarkan nama properti: | False |
| Nilai dari argumen yang tersisa: | False |
-InstanceId
Menentukan ID Instans yang akan didapatkan dari log peristiwa. Parameter menerima string nilai yang dipisahkan koma.
Properti parameter
| Jenis: | Int64[] |
| Nilai default: | None |
| Mendukung wildcard: | False |
| DontShow: | False |
Kumpulan parameter
LogName
| Position: | 1 |
| Wajib: | False |
| Nilai dari alur: | False |
| Nilai dari alur berdasarkan nama properti: | False |
| Nilai dari argumen yang tersisa: | False |
-List
Menampilkan daftar log kejadian pada komputer.
Properti parameter
| Jenis: | SwitchParameter |
| Nilai default: | None |
| Mendukung wildcard: | False |
| DontShow: | False |
Kumpulan parameter
List
| Position: | Named |
| Wajib: | False |
| Nilai dari alur: | False |
| Nilai dari alur berdasarkan nama properti: | False |
| Nilai dari argumen yang tersisa: | False |
-LogName
Menentukan nama satu log peristiwa. Untuk menemukan nama log, gunakan Get-EventLog -List. Karakter pengganti diizinkan. Parameter ini diperlukan.
Properti parameter
| Jenis: | String |
| Nilai default: | None |
| Mendukung wildcard: | True |
| DontShow: | False |
| Alias: | LN |
Kumpulan parameter
LogName
| Position: | 0 |
| Wajib: | True |
| Nilai dari alur: | False |
| Nilai dari alur berdasarkan nama properti: | False |
| Nilai dari argumen yang tersisa: | False |
-Message
Menentukan string dalam pesan peristiwa. Anda dapat menggunakan parameter ini untuk mencari pesan yang berisi kata atau frasa tertentu. Kartu liar diizinkan.
Properti parameter
| Jenis: | String |
| Nilai default: | None |
| Mendukung wildcard: | True |
| DontShow: | False |
| Alias: | Mononatrium Glutamat |
Kumpulan parameter
LogName
| Position: | Named |
| Wajib: | False |
| Nilai dari alur: | False |
| Nilai dari alur berdasarkan nama properti: | False |
| Nilai dari argumen yang tersisa: | False |
-Newest
Dimulai dengan peristiwa terbaru dan mendapatkan jumlah peristiwa yang ditentukan. Jumlah peristiwa diperlukan, misalnya -Newest 100. Menentukan jumlah maksimum peristiwa yang dikembalikan.
Properti parameter
| Jenis: | Int32 |
| Nilai default: | None |
| Mendukung wildcard: | False |
| DontShow: | False |
Kumpulan parameter
LogName
| Position: | Named |
| Wajib: | False |
| Nilai dari alur: | False |
| Nilai dari alur berdasarkan nama properti: | False |
| Nilai dari argumen yang tersisa: | False |
-Source
Menentukan, sebagai array string, sumber yang ditulis ke log yang didapat cmdlet ini. Kartu liar diizinkan.
Properti parameter
| Jenis: | String[] |
| Nilai default: | None |
| Mendukung wildcard: | True |
| DontShow: | False |
| Alias: | ABO |
Kumpulan parameter
LogName
| Position: | Named |
| Wajib: | False |
| Nilai dari alur: | False |
| Nilai dari alur berdasarkan nama properti: | False |
| Nilai dari argumen yang tersisa: | False |
-UserName
Menentukan, sebagai array string, nama pengguna yang terkait dengan peristiwa. Masukkan pola nama atau nama, seperti User01, User*, atau Domain01\User*. Kartu liar diizinkan.
Properti parameter
| Jenis: | String[] |
| Nilai default: | None |
| Mendukung wildcard: | True |
| DontShow: | False |
Kumpulan parameter
LogName
| Position: | Named |
| Wajib: | False |
| Nilai dari alur: | False |
| Nilai dari alur berdasarkan nama properti: | False |
| Nilai dari argumen yang tersisa: | False |
CommonParameters
Cmdlet ini mendukung parameter umum: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction, dan -WarningVariable. Untuk informasi selengkapnya, lihat about_CommonParameters.
Input
None
Anda tidak dapat menyalurkan input ke Get-EventLog.
Output
System.Diagnostics.EventLogEntry. System.Diagnostics.EventLog. System.String
Jika parameter
Jika hanya parameter Daftar
Jika parameter
Catatan
Cmdlet Get-EventLog dan Get-WinEvent tidak didukung di Windows Preinstallation Environment (Windows PE).
