Get-EventLog
Obtiene los eventos de un registro de eventos, o una lista de los registros de eventos, en los equipos local o remotos.
Sintaxis
Get-EventLog [-AsString] [-ComputerName <string[]>] [-List] [<CommonParameters>]
Get-EventLog [-LogName] <string> [[-InstanceId] <Int64[]>] [-After <DateTime>] [-AsBaseObject] [-Before <DateTime>] [-ComputerName <string[]>] [-EntryType <string[]>] [-Index <Int32[]>] [-Message <string>] [-Newest <int>] [-Source <string[]>] [-UserName <string[]>] [<CommonParameters>]
Descripción
El cmdlet Get-EventLog obtiene eventos y registros de eventos en los equipos local y remotos.
Utilice los parámetros de Get-EventLog para buscar eventos utilizando sus valores de propiedad. Get-EventLog obtiene solamente los eventos que coinciden con todos los valores de propiedad especificados.
Los cmdlets que contienen el sustantivo EventLog (cmdlets EventLog) sólo funcionan en los registros de eventos clásicos. Para obtener eventos de registros que utilizan la tecnología Registro de eventos de Windows en Windows Vista y versiones posteriores de Windows, use Get-WinEvent.
Parámetros
-After <DateTime>
Obtiene solamente los eventos que se producen después de la fecha y hora especificadas. Escriba un objeto DateTime, como el devuelto por el cmdlet Get-Date.
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
|
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
false |
-AsBaseObject
Devuelve un objeto System.Diagnostics.EventLogEntry estándar para cada evento. Sin este parámetro, Get-EventLog devuelve un objeto PsObject extendido con las propiedades EventLogName, Source e InstanceId adicionales.
Para ver el efecto de este parámetro, canalice los eventos al cmdlet Get-Member y examine el valor TypeName en el resultado.
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
False |
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
false |
-AsString
Devuelve los resultados en forma de cadenas, en lugar de en forma de objetos.
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
|
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
false |
-Before <DateTime>
Obtiene solamente los eventos que se producen antes de la fecha y hora especificadas. Escriba un objeto DateTime, como el devuelto por el cmdlet Get-Date.
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
|
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
false |
-ComputerName <string[]>
Especifica un equipo remoto. El valor predeterminado es el equipo local.
Escriba el nombre NetTBIOS, una dirección de protocolo de Internet (IP) o un nombre de dominio completo de un equipo remoto. Para especificar el equipo local, escriba el nombre del equipo, un punto (.), o bien, "localhost".
Este parámetro no se basa en la comunicación remota de Windows PowerShell. Puede usar el parámetro ComputerName de Get-EventLog incluso si el equipo no está configurado para la ejecución de comandos remotos.
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
|
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
false |
-EntryType <string[]>
Obtiene solamente eventos con el tipo de entrada especificado. Los valores válidos son Error, Information, FailureAudit, SuccessAudit y Warning. El valor predeterminado son todos los eventos.
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
All events |
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
false |
-Index <Int32[]>
Obtiene solamente eventos con los valores de índice especificados.
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
All events |
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
false |
-InstanceId <Int64[]>
Obtiene solamente eventos con los identificadores de instancia especificados.
¿Requerido? |
false |
¿Posición? |
2 |
Valor predeterminado |
|
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
false |
-List
Obtiene una lista de registros de eventos en el equipo.
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
|
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
false |
-LogName <string>
Especifica el registro de eventos. Escriba el nombre de registro (valor de la propiedad Log, no LogDisplayName) de un registro de eventos. No se permite el uso de caracteres comodín. Este parámetro es obligatorio.
¿Requerido? |
true |
¿Posición? |
1 |
Valor predeterminado |
|
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
false |
-Message <string>
Obtiene eventos que tienen la cadena especificada en sus mensajes. Puede utilizar esta propiedad para buscar mensajes que contengan determinadas palabras o frases. Se permite el uso de caracteres comodín.
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
|
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
true |
-Newest <int>
Especifica el número máximo de eventos recuperados. Get-EventLog obtiene el número especificado de eventos, comenzando por el más reciente del registro.
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
|
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
false |
-Source <string[]>
Obtiene eventos que los orígenes especificados escribieron en el registro. Se permite el uso de caracteres comodín.
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
|
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
true |
-UserName <string[]>
Obtiene solamente los eventos asociados a los nombres de usuario especificados. Escriba nombres o patrones de nombre, como Usuario01, Usuario* o Dominio01\Usuario*. Se permite el uso de caracteres comodín.
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
|
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
true |
<CommonParameters>
Este cmdlet admite los parámetros comunes: -Verbose, -Debug, -ErrorAction, -ErrorVariable, -OutBuffer y -OutVariable. Para obtener más información, vea about_Commonparameters.
Entradas y salidas
El tipo de entrada es el tipo de los objetos que se pueden canalizar al cmdlet. El tipo devuelto es el tipo de los objetos que el cmdlet devuelve.
Entradas |
Ninguno. No se pueden canalizar entradas a este cmdlet. |
Salidas |
System.Diagnostics.EventLogEntry. System.Diagnostics.EventLog. System.String Si se especifica el parámetro LogName, el resultado es una colección de objetos EventLogEntry (System.Diagnostics.EventLogEntry). Si solamente se especifica el parámetro List, el resultado es una colección de objetos EventLog (System.Diagnostics.EventLog). Si se especifican los parámetros List y AsString, el resultado es una colección de objetos String (System.String). |
Ejemplo 1
C:\PS>get-eventlog -list
Descripción
-----------
Este comando muestra información sobre los registros de eventos del equipo.
Ejemplo 2
C:\PS>get-eventlog -newest 5 -logname application
Descripción
-----------
Este comando muestra las cinco entradas más recientes del registro de eventos de la aplicación.
Ejemplo 3
C:\PS>$events = get-eventlog -logname system -newest 1000
C:\PS> $events | group-object -property source -noelement | sort-object -property count -descending
Count Name
----- ----
75 Service Control Manager
12 Print
6 UmrdpService
2 DnsApi
2 DCOM
1 Dhcp
1 TermDD
1 volsnap
Descripción
-----------
En este ejemplo se muestra la forma de buscar todos los orígenes que se representan en las 1000 entradas más recientes del registro de eventos del sistema.
El primer comando obtiene las 1000 entradas más recientes del registro de eventos del sistema y las almacena en la variable $events.
El segundo comando usa un operador de canalización (|) para enviar los eventos almacenados en $events al cmdlet Group-Object, que agrupa las entradas por el valor de la propiedad Source. El comando utiliza un segundo operador de canalización para enviar los eventos agrupados al cmdlet Sort-Object, que los ordena de forma descendente, de modo que el origen que aparece con más frecuencia se muestra en primer lugar.
Source es una propiedad de las entradas del registro de eventos. Para ver todas las propiedades de una entrada del registro de eventos, canalice los eventos al cmdlet Get-Member.
Ejemplo 4
C:\PS>get-eventlog -logname System -EntryType Error
Descripción
-----------
Este comando obtiene solamente eventos de error del registro de eventos del sistema.
Ejemplo 5
C:\PS>get-eventlog -logname System -instanceID 3221235481 -Source "DCOM"
Descripción
-----------
Este comando obtiene eventos del registro del sistema que tienen un InstanceID de 3221235481 y un valor "DCOM" de Source.
Ejemplo 6
C:\PS>get-eventlog -logname "Windows PowerShell" -computername localhost, Server01, Server02
Descripción
-----------
Este comando obtiene los eventos del registro de eventos de "Windows PowerShell" en tres equipos, Server01, Server02 y el equipo local, conocido como "localhost".
Ejemplo 7
C:\PS>get-eventlog -logname "Windows PowerShell" -message "*failed*"
Descripción
-----------
Este comando obtiene todos los eventos del registro de eventos de Windows PowerShell que tienen un valor de mensaje que incluye la palabra "failed".
Ejemplo 8
C:\PS>$a = get-eventlog -log System -newest 1
C:\PS> $a | format-list -property *
EventID : 7036
MachineName : Server01
Data : {}
Index : 10238
Category : (0)
CategoryNumber : 0
EntryType : Information
Message : The description for Event ID
Source : Service Control Manager
ReplacementStrings : {WinHTTP Web Proxy Auto-Disco
InstanceId : 1073748860
TimeGenerated : 4/11/2008 9:56:05 PM
TimeWritten : 4/11/2008 9:56:05 PM
UserName :
Site :
Container :
Descripción
-----------
En este ejemplo se muestra la forma de mostrar todos los valores de propiedad de un evento.
El primer comando obtiene el evento más reciente del registro de eventos del sistema y lo guarda en la variable $a.
El segundo comando usa un operador de canalización (|) para enviar el evento de $a al comando Format-List, que muestra todas (*) las propiedades de evento.
Ejemplo 9
C:\PS>get-eventlog -log application -source outlook | where {$_.eventID -eq 34}
Descripción
-----------
Este comando obtiene eventos del registro de eventos de la aplicación donde el origen es Outlook y el identificador de evento es 34. Aunque Get-EventLog no tiene un parámetro EventID, se puede utilizar el cmdlet Where-Object para seleccionar eventos de acuerdo con el valor de cualquier propiedad de evento.
Ejemplo 10
C:\PS>get-eventlog -log system -username NT* | group-object -property username -noelement | format-table Count, Name -auto
Count Name
----- ----
6031 NT AUTHORITY\SYSTEM
42 NT AUTHORITY\LOCAL SERVICE
4 NT AUTHORITY\NETWORK SERVICE
Descripción
-----------
Este comando devuelve los eventos del registro del sistema agrupados por el valor de su propiedad UserName. El comando Get-EventLog utiliza el parámetro UserName para obtener solamente eventos en que el nombre de usuario empieza por "NT*".
Ejemplo 11
C:\PS>$May31 = get-date 5/31/08
C:\PS> $July1 = get-date 7/01/08
C:\PS> get-eventlog -log "Windows PowerShell" -entrytype Error -after $may31 -before $july1
Descripción
-----------
Este comando obtiene todos los errores del registro de eventos de Windows PowerShell que se produjeron en junio de 2008.
Vea también
Conceptos
Get-WinEvent
Clear-EventLog
Limit-EventLog
New-EventLog
Remove-EventLog
Show-EventLog
Write-EventLog
Get-WinEvent