События системы

 

Давайте посмотрим какие журналы событий у нас есть(команды выполнялись на windows 7):

 

 

Справа мы видим имена журналов , давайте заглянем в system(вывод сокращен):

 

 

Вывод может оказаться очень большим , можно сократить его например с помощью параметра newest: Get-EventLog system -newest 30 , тут нам будут выведены только 30 строк.

 

Давайте выведем полную информацию о событии(в данном примере мы затрагиваем вывод информации в форматированном виде при команде Format-List):

 

 

Давайте выведем только сообщения с ошибками(свойство EntryType я посмотрел из вывода PS C:Windowssystem32> Get-EventLog application -newest 1 | Get-Member):

 

 

Тоже самое только по другому:

 

PS C:Windowssystem32> Get-EventLog -Logname application | Where-Object { $_.entryType -eq «error» }

 

Тут мы проверяем с помощью команды Where-Object (т.е. где объект соответствует) , $_ — означает передаваемый предыдущей командой аргумент , с помощью «.» мы присоединяем свойство entryType ,  -eq означает совпадение , и под конец мы передаем объект с которым идет сравнение.

 

Как видите тут все тоже просто.

 

Или вот-так:

 

 

#Эта команда получает все журналы, имеющиеся на локальном компьютере.
get-winevent -listlog *#В данном примере команда извлекает объекты, представляющие журналы событий Windows PowerShell на трех компьютерах: Server01, Server02 и Server03.

 

$s = «Server01″, «Server02″, «Server03″
foreach ($server in $s) {get-winevent -listlog «Windows PowerShell» -computername $server}

 

 

Теперь выведем все сообщения с ошибками за последние сутки-двое из журналов перечисленных в массиве:

 

#Объявляем дату

 

#Журналы желаемые проверить

 

#Указываем желаемый уровень 2(ошибка) и время для проверяемых журналов и отправляем все это в хтмл-файл по нескольким критериям