TEMA
about_EventLogs
DESCRIPCIÓN BREVE
Windows PowerShell crea un registro de eventos de Windows que se
denomina "Windows PowerShell" para registrar los eventos de Windows
PowerShell. Puede ver este registro en el Visor de eventos o mediante
cmdlets que obtienen los eventos, como el cmdlet Get-EventLog.
De forma predeterminada, el motor de Windows PowerShell y los eventos de
proveedor se registran en el registro de eventos, pero también se pueden
utilizar las variables de preferencias del registro de eventos para
personalizar el registro de eventos. Por ejemplo, se pueden agregar
eventos sobre los comandos de Windows PowerShell.
DESCRIPCIÓN DETALLADA
El registro de eventos de Windows PowerShell registra detalles de
operaciones de Windows PowerShell, como iniciar y detener el motor
del programa o iniciar y detener los proveedores de Windows
PowerShell. También pueden registrarse detalles sobre los comandos de
Windows PowerShell.
En Windows Vista y en las versiones posteriores, el registro de
eventos de Windows PowerShell se encuentra en el grupo de registros de
aplicaciones y servicios. El registro de Windows PowerShell es un
registro de eventos clásico que no utiliza la tecnología de generación
de eventos de Windows. Para ver el registro, se utilizan los cmdlets
diseñados para los registros de eventos clásicos, como Get-EventLog.
Ver el registro de eventos de Windows PowerShell
El registro de eventos de Windows PowerShell se puede ver en el
Visor de eventos o mediante los cmdlets Get-EventLog y
Get-WmiObject. Para ver el contenido del registro de Windows
PowerShell, escriba:
get-eventlog -logname "Windows PowerShell"
Para examinar los eventos y sus propiedades, se utilizan los
cmdlets Sort-Object, Group-Object y otros que contienen el
verbo Format (cmdlets Format).
Por ejemplo, para ver los eventos del registro agrupados según el
identificador de evento, escriba:
get-eventlog "Windows PowerShell" | format-table -groupby eventid
O bien:
get-eventlog "Windows PowerShell" | sort-object eventid `
| group-object eventid
Para ver todos los registros de eventos clásicos, escriba:
get-eventlog -list
También se puede utilizar el cmdlet Get-WmiObject para utilizar
las clases de Windows Management Instumentation (WMI)
relacionadas con los eventos para examinar el registro de eventos.
Por ejemplo, para ver todas las propiedades del archivo del
registro de eventos, escriba:
get-wmiobject win32_nteventlogfile | where `
{$_.logfilename -eq "Windows PowerShell"} | format-list -property *
Para buscar las clases de WMI relacionadas con eventos de Win32, escriba:
get-wmiobject -list | where {$_.name -like "win32*event*"}
Para obtener más información, escriba "get-help get-eventlog" y
"get-help get-wmiobject".
Seleccionar eventos para el registro de eventos de Windows PowerShell
Las variables de preferencias del registro de eventos se pueden
utilizar para determinar qué eventos se registrarán en el
registro de eventos de Windows PowerShell.
Hay seis variables de preferencias del registro de eventos; dos
para cada uno de los tres componentes de registro: el motor (el
programa Windows PowerShell), los proveedores y los comandos. Las
variables LifeCycleEvent registran los eventos de inicio y detención
normales. Las variables Health registran los eventos de error.
En la tabla siguiente se muestra una lista de las variables de
preferencias del registro de eventos.
Variable Descripción
-------------------------- ----------------------------------------
$LogEngineLifeCycleEvent Registra los inicios y las detenciones de
Windows PowerShell.
$LogEngineHealthEvent Registra los errores del programa
Windows PowerShell.
$LogProviderLifeCycleEvent Registra los inicios y las detenciones de
los proveedores de Windows PowerShell.
$LogProviderHealthEvent Registra los errores de los proveedores de
Windows PowerShell.
$LogCommandLifeCycleEvent Registra los inicios y finalizaciones de los
comandos.
$LogCommandHealthEvent Registra los errores de los
comandos.
(Para obtener información acerca de los proveedores de Windows
PowerShell, escriba: "get-help about_providers".)
De forma predeterminada, solamente están habilitados los tipos
de eventos siguientes:
$LogEngineLifeCycleEvent
$LogEngineHealthEvent
$LogProviderLifeCycleEvent
$LogProviderHealthEvent
Para habilitar un tipo de evento, se establece la variable de
preferencias correspondiente a ese evento en $true. Por
ejemplo, para habilitar los eventos de ciclo de vida de los
comandos, escriba:
$LogCommandLifeCycleEvent
O bien:
$LogCommandLifeCycleEvent = $true
Para deshabilitar un tipo de evento, se establece la variable de
preferencias correspondiente a ese evento en $false. Por ejemplo, para
deshabilitar los eventos de ciclo de vida de los comandos, escriba:
$LogProviderLifeCycleEvent = $false
La configuración de las variables se aplica solamente a la
sesión actual de Windows PowerShell. Para aplicársela a todas
las sesiones de Windows PowerShell, hay que agregarla al perfil
de Windows PowerShell.
Seguridad y auditoría
El registro de eventos de Windows PowerShell está diseñado para
indicar la actividad y proporcionar detalles operativos que permitan
solucionar problemas.
Sin embargo, como la mayoría de los registros de eventos de las
aplicaciones basadas en Windows, el registro de eventos de Windows
PowerShell no está diseñado para ser seguro. No se debe utilizar para
auditar la seguridad ni registrar información confidencial o de propiedad.
Los registros de eventos están diseñados para que los usuarios los
lean y entiendan. Los usuarios pueden leer el registro y escribir en él.
Un usuario malintencionado podría leer un registro de eventos en un equipo
local o remoto, registrar datos falsos y, a continuación, impedir el registro
de sus actividades.
VEA TAMBIÉN
Get-EventLog
Get-WmiObject
about_Preference_Variables