New-EventLog
Создает новый журнал событий и новый источник событий на локальном или удаленном компьютере.
Синтаксис
New-EventLog
[-LogName] <string>
[-Source] <string[]>
[[-ComputerName] <string[]>]
[-CategoryResourceFile <string>]
[-MessageResourceFile <string>]
[-ParameterResourceFile <string>]
[<CommonParameters>] Описание
Этот командлет создает новый классический журнал событий на локальном или удаленном компьютере. Он также может зарегистрировать источник событий, который записывается в новый журнал или в существующий журнал.
Командлеты, содержащие существительное EventLog (командлеты журнала событий), работают только в классических журналах событий.
Чтобы получить события из журналов, использующих технологию журнала событий Windows в Windows Vista и более поздних версиях Windows, используйте Get-WinEvent.
Примеры
Пример 1. Создание журнала событий
Эта команда создает журнал событий TestLog на локальном компьютере и регистрирует новый источник для него.
New-EventLog -source TestApp -LogName TestLog -MessageResourceFile C:\Test\TestApp.dllПример 2. Добавление нового источника событий в существующий журнал
Эта команда добавляет новый источник событий NewTestApp в журнал приложений на удаленном компьютере Server01.
$file = "C:\Program Files\TestApps\NewTestApp.dll"
New-EventLog -ComputerName Server01 -Source NewTestApp -LogName Application -MessageResourceFile $file -CategoryResourceFile $fileКоманда требует, чтобы файл NewTestApp.dll находился на компьютере Server01.
Параметры
-CategoryResourceFile
Указывает путь к файлу, который содержит строки категорий для исходных событий. Этот файл также называется файлом сообщения категории.
Файл должен присутствовать на компьютере, на котором создается журнал событий. Этот параметр не создает или не перемещает файлы.
| Тип: | String |
| Aliases: | CRF |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-ComputerName
Создает новые журналы событий на указанных компьютерах. По умолчанию используется локальный компьютер.
Имя NetBIOS, IP-адрес или полное доменное имя удаленного компьютера. Чтобы указать локальный компьютер, введите имя компьютера, точку (.) или localhost.
Этот параметр не зависит от удаленного взаимодействия PowerShell. Параметр
| Тип: | String[] |
| Aliases: | CN |
| Position: | 3 |
| Default value: | Local computer |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-LogName
Указывает имя журнала событий.
Если журнал не существует, New-EventLog создает журнал и использует это значение для log и LogDisplayName свойства нового журнала событий. Если журнал существует, New-EventLog регистрирует новый источник для журнала событий.
| Тип: | String |
| Aliases: | LN |
| Position: | 1 |
| Default value: | None |
| Обязательно: | True |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-MessageResourceFile
Указывает путь к файлу, который содержит строки форматирования сообщений для исходных событий. Этот файл также называется файлом сообщения о событии.
Файл должен присутствовать на компьютере, на котором создается журнал событий. Этот параметр не создает или не перемещает файлы.
| Тип: | String |
| Aliases: | MRF |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-ParameterResourceFile
Указывает путь к файлу, который содержит строки, используемые для подстановок параметров в описаниях событий. Этот файл также называется файлом сообщения о параметрах.
Файл должен присутствовать на компьютере, на котором создается журнал событий. Этот параметр не создает или не перемещает файлы.
| Тип: | String |
| Aliases: | PRF |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-Source
Задает имена источников журнала событий, таких как программы приложения, которые записываются в журнал событий. Этот параметр является обязательным.
| Тип: | String[] |
| Aliases: | SRC |
| Position: | 2 |
| Default value: | None |
| Обязательно: | True |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
Входные данные
None
Входные данные в этот командлет невозможно передать.
Выходные данные
Примечания
Чтобы использовать New-EventLog в Windows Vista и более поздних версиях Windows, откройте PowerShell с параметром "Запуск от имени администратора".
Чтобы создать источник событий в Windows Vista, Windows XP Professional или Windows Server 2003, необходимо быть членом группы администраторов на компьютере.
При создании нового журнала событий и нового источника событий система регистрирует новый источник для нового журнала, но журнал не создается, пока первая запись не будет записана в нее.
Операционная система хранит журналы событий в виде файлов.
При создании нового журнала событий связанный файл хранится в каталоге $env:SystemRoot\System32\Config на указанном компьютере.
Имя файла — это первые восемь символов свойства Log с расширением имени evt-файла.