Get-WinEvent
ローカルおよびリモート コンピューター上のイベント ログとイベント トレース ログ ファイルからイベントを取得します。
構文
Get-WinEvent
[[-LogName] <String[]>]
[-MaxEvents <Int64>]
[-ComputerName <String>]
[-Credential <PSCredential>]
[-FilterXPath <String>]
[-Force]
[-Oldest]
[<CommonParameters>] Get-WinEvent
[-ListLog] <String[]>
[-ComputerName <String>]
[-Credential <PSCredential>]
[-Force]
[<CommonParameters>] Get-WinEvent
[-ListProvider] <String[]>
[-ComputerName <String>]
[-Credential <PSCredential>]
[<CommonParameters>] Get-WinEvent
[-ProviderName] <String[]>
[-MaxEvents <Int64>]
[-ComputerName <String>]
[-Credential <PSCredential>]
[-FilterXPath <String>]
[-Force]
[-Oldest]
[<CommonParameters>] Get-WinEvent
[-Path] <String[]>
[-MaxEvents <Int64>]
[-Credential <PSCredential>]
[-FilterXPath <String>]
[-Oldest]
[<CommonParameters>] Get-WinEvent
[-MaxEvents <Int64>]
[-ComputerName <String>]
[-Credential <PSCredential>]
[-FilterHashtable] <Hashtable[]>
[-Force]
[-Oldest]
[<CommonParameters>] Get-WinEvent
[-MaxEvents <Int64>]
[-ComputerName <String>]
[-Credential <PSCredential>]
[-FilterXml] <XmlDocument>
[-Oldest]
[<CommonParameters>] 説明
このコマンドレットは、Windows プラットフォームでのみ使用できます。
Get-WinEvent コマンドレットは、System Application ログなどのクラシック ログを含むイベント ログからイベントを取得します。 このコマンドレットは、Windows Vista で導入された Windows イベント ログ テクノロジによって生成されたイベント ログと、 Event Tracing for Windows (ETW)によって生成されたログ ファイル内のイベントからデータを取得します。 既定では、 Get-WinEvent は最新から最も古い順にイベント情報を返します。
Get-WinEvent には、イベント ログとイベント ログ プロバイダーが一覧表示されます。 コマンドを中断するには、 CTRL+C を押します。 選択したログまたは選択したイベント プロバイダーによって生成されたログからイベントを取得できます。 さらに、1 つのコマンドで複数のソースからのイベントを組み合わせることができます。
Get-WinEvent では、XPath クエリ、構造化 XML クエリ、ハッシュ テーブル クエリを使用してイベントをフィルター処理できます。
管理者として PowerShell を実行していない場合は、ログに関する情報を取得できないエラー メッセージが表示されることがあります。
例
例 1: ローカル コンピューターからすべてのログを取得する
このコマンドは、ローカル コンピューター上のすべてのイベント ログを取得します。 ログは、 Get-WinEvent が取得する順序で一覧表示されます。 クラシック ログが最初に取得され、次に新しい Windows イベント ログが取得されます。
ログの RecordCount が null (空白)、または 0 である可能性があります。
Get-WinEvent -ListLog *
LogMode MaximumSizeInBytes RecordCount LogName
------- ------------------ ----------- -------
Circular 15532032 14500 Application
Circular 1052672 117 Azure Information Protection
Circular 1052672 3015 CxAudioSvcLog
Circular 20971520 ForwardedEvents
Circular 20971520 0 HardwareEventsGet-WinEvent コマンドレットは、コンピューターからログ情報を取得します。 ListLog パラメーターは、アスタリスク (*) ワイルドカードを使用して各ログに関する情報を表示します。
例 2: クラシック セットアップ ログを取得する
このコマンドは、クラシック Setup ログを表すEventLogConfiguration オブジェクトを取得します。 このオブジェクトには、ファイル サイズ、プロバイダー、ファイル パス、ログが有効になっているかどうかなど、ログに関する情報が含まれます。
Get-WinEvent -ListLog Setup | Format-List -Property *
FileSize : 69632
IsLogFull : False
LastAccessTime : 3/13/2019 09:41:46
LastWriteTime : 3/13/2019 09:41:46
OldestRecordNumber : 1
RecordCount : 23
LogName : Setup
LogType : Operational
LogIsolation : Application
IsEnabled : True
IsClassicLog : False
SecurityDescriptor : O:BAG:SYD: ...
LogFilePath : %SystemRoot%\System32\Winevt\Logs\Setup.evtx
MaximumSizeInBytes : 1052672
LogMode : Circular
OwningProviderName : Microsoft-Windows-Eventlog
ProviderNames : {Microsoft-Windows-WUSA, Microsoft-Windows-ActionQueue...
ProviderLevel :
ProviderKeywords :
ProviderBufferSize : 64
ProviderMinimumNumberOfBuffers : 0
ProviderMaximumNumberOfBuffers : 64
ProviderLatency : 1000
ProviderControlGuid :Get-WinEvent コマンドレットでは、ListLog パラメーターを使用して、Setup ログを指定します。 オブジェクトは、パイプラインから Format-List コマンドレットに送信されます。 Format-List では、 Property パラメーターとアスタリスク (*) ワイルドカードを使用して各プロパティを表示します。
例 3: クラシック セキュリティ ログを構成する
このコマンドは、クラシック Security ログを表すEventLogConfiguration オブジェクトを取得します。 その後、オブジェクトを使用して、最大ファイル サイズ、ファイル パス、ログが有効になっているかどうかなど、ログの設定を構成します。
$log = Get-WinEvent -ListLog Security
$log.MaximumSizeInBytes = 1gb
try{
$log.SaveChanges()
Get-WinEvent -ListLog Security | Format-List -Property *
}catch [System.UnauthorizedAccessException]{
$ErrMsg = 'You do not have permission to configure this log!'
$ErrMsg += ' Try running this script with administrator privileges. '
$ErrMsg += $_.Exception.Message
Write-Error $ErrMsg
}
FileSize : 69632
IsLogFull : False
LastAccessTime : 3/13/2019 09:41:46
LastWriteTime : 3/13/2019 09:41:46
OldestRecordNumber : 1
RecordCount : 23
LogName : Security
LogType : Administrative
LogIsolation : Custom
IsEnabled : True
IsClassicLog : True
SecurityDescriptor : O:BAG:SYD: ...
LogFilePath : %SystemRoot%\System32\Winevt\Logs\Security.evtx
MaximumSizeInBytes : 1073741824
LogMode : Circular
OwningProviderName :
ProviderNames : {Microsoft-Windows-WUSA, Microsoft-Windows-ActionQueue...
ProviderLevel :
ProviderKeywords :
ProviderBufferSize : 64
ProviderMinimumNumberOfBuffers : 0
ProviderMaximumNumberOfBuffers : 64
ProviderLatency : 1000
ProviderControlGuid :Get-WinEvent コマンドレットは、ListLog パラメーターを使用して、Security ログを指定します。 オブジェクトは変数に保存されます。 MaximumSizeInBytes プロパティは、オブジェクトで 1 ギガバイトに設定されます。 SaveChanges メソッドは、try ブロック内のシステムに変更をプッシュしてアクセス違反を処理するために呼び出されます。 Get-WinEvent コマンドレットは、Security ログで再度呼び出され、Format-List コマンドレットにパイプ処理され、MaximumSizeInBytes プロパティがコンピューターに保存されていることを確認します。
例 4: サーバーからイベント ログを取得する
このコマンドは、イベントを含むローカル コンピューター上のイベント ログのみを取得します。 ログの RecordCount が null またはゼロである可能性があります。 この例では、 $_ 変数を使用します。 詳細については、「about_Automatic_Variables」を参照してください。
Get-WinEvent -ListLog * -ComputerName localhost | Where-Object { $_.RecordCount }
LogMode MaximumSizeInBytes RecordCount LogName
------- ------------------ ----------- -------
Circular 15532032 14546 Application
Circular 1052672 117 Azure Information Protection
Circular 1052672 2990 CxAudioSvcLog
Circular 1052672 9 MSFTVPN Setup
Circular 1052672 282 OAlertsGet-WinEvent コマンドレットは、コンピューターからログ情報を取得します。 ListLog パラメーターは、アスタリスク (*) ワイルドカードを使用して各ログに関する情報を表示します。 ComputerName パラメーターは、ローカル コンピューターの localhost からログを取得することを指定します。 オブジェクトは、パイプラインから Where-Object コマンドレットに送信されます。 Where-Object は $_.RecordCount を使用して、データを含むログのみを返します。 $_ は、パイプライン内の現在のオブジェクトを表す変数です。 RecordCount は、null 以外の値を持つオブジェクトのプロパティです。
例 5: 複数のサーバーからイベント ログを取得する
この例では、Server01、Server02、Server03 の 3 台のコンピューター上の Application イベント ログを表すオブジェクトを取得します。 ForEach キーワードが使用されるのは、ComputerName パラメーターが受け取る値が 1 つだけであるためです。 詳細については、 about_Foreachを参照してください。
$S = 'Server01', 'Server02', 'Server03'
ForEach ($Server in $S) {
Get-WinEvent -ListLog Application -ComputerName $Server |
Select-Object LogMode, MaximumSizeInBytes, RecordCount, LogName,
@{name='ComputerName'; expression={$Server}} |
Format-Table -AutoSize
}
LogMode MaximumSizeInBytes RecordCount LogName ComputerName
------- ------------------ ----------- ------- ------------
Circular 15532032 14577 Application Server01
Circular 15532032 9689 Application Server02
Circular 15532032 5309 Application Server03変数 $S には、 Server01、、 Server02、および Server03 の 3 つのサーバーの名前が格納されます。 ForEach ステートメントは、ループを使用して各サーバーを処理($Server in $S)。 中かっこ ({ }) のスクリプト ブロックは、 Get-WinEvent コマンドを実行します。 ListLog パラメーターは、Application ログを指定します。 ComputerName パラメーターは、変数$Serverを使用して各サーバーからログ情報を取得します。
オブジェクトは、パイプラインから Select-Object コマンドレットに送信されます。 Select-Objectは、LogMode、MaximumSizeInBytes、RecordCount、LogName のプロパティを取得し、計算式を使用して$Server変数を使用してComputerName を表示します。 PowerShell コンソールに出力を表示するために、オブジェクトはパイプラインから Format-Table コマンドレットに送信されます。 AutoSize パラメーターは、画面に合わせて出力を書式設定します。
例 6: イベント ログ プロバイダーとログ名を取得する
このコマンドは、イベント ログ プロバイダーと、そのプロバイダーが書き込むログを取得します。
Get-WinEvent -ListProvider *
Name : .NET Runtime
LogLinks : {Application}
Opcodes : {}
Tasks : {}
Name : .NET Runtime Optimization Service
LogLinks : {Application}
Opcodes : {}
Tasks : {}Get-WinEvent コマンドレットは、コンピューターからログ情報を取得します。 ListProvider パラメーターは、アスタリスク (*) ワイルドカードを使用して各プロバイダーに関する情報を表示します。 出力では、 Name はプロバイダーであり、 LogLinks はプロバイダーが書き込むログです。
例 7: 特定のログに書き込むすべてのイベント ログ プロバイダーを取得する
このコマンドは、 Application ログに書き込むすべてのプロバイダーを取得します。
(Get-WinEvent -ListLog Application).ProviderNames
.NET Runtime
.NET Runtime Optimization Service
Application
Application Error
Application Hang
Application ManagementGet-WinEvent コマンドレットは、コンピューターからログ情報を取得します。 ListLog パラメーターは、Application を使用してそのログのオブジェクトを取得します。 ProviderNames はオブジェクトのプロパティであり、 Application ログに書き込むプロバイダーを表示します。
例 8: 特定の文字列を含むイベント ログ プロバイダー名を取得する
このコマンドは、プロバイダーの名前に特定の文字列を含む名前を持つイベント ログ プロバイダーを取得します。
Get-WinEvent -ListProvider *Policy*
Name : Group Policy Applications
LogLinks : {Application}
Opcodes : {}
Tasks : {}
Name : Group Policy Client
LogLinks : {Application}
Opcodes : {}
Tasks : {}
Name : Group Policy Data Sources
LogLinks : {Application}
Opcodes : {}
Tasks : {}Get-WinEvent コマンドレットは、コンピューターからログ情報を取得します。 ListProvider パラメーターは、アスタリスク (*) ワイルドカードを使用して、プロバイダーの名前内の任意の場所Policyを検索します。
例 9: イベント プロバイダーが生成するイベント ID を取得する
このコマンドは、 Microsoft-Windows-GroupPolicy イベント プロバイダーが生成するイベント ID とイベントの説明を一覧表示します。
(Get-WinEvent -ListProvider Microsoft-Windows-GroupPolicy).Events | Format-Table Id, Description
Id Description
-- -----------
1500 The Group Policy settings for the computer were processed successfully...
1501 The Group Policy settings for the user were processed successfully...
4115 Group Policy Service started.
4116 Started the Group Policy service initialization phase.
4117 Group Policy Session started.Get-WinEvent コマンドレットは、コンピューターからログ情報を取得します。 ListProvider パラメーターは、プロバイダー Microsoft-Windows-GroupPolicy を指定します。 式はかっこで囲まれ、 Events プロパティを使用してオブジェクトを取得します。 オブジェクトは、パイプラインから Format-Table コマンドレットに送信されます。 Format-Table には、イベント オブジェクトの Id および Description が表示されます。
例 10: イベント オブジェクトのプロパティからログ情報を取得する
この例では、イベント オブジェクトのプロパティを使用してログの内容に関する情報を取得する方法を示します。 イベント オブジェクトは変数に格納され、グループ化され、 Event Id および Level によってカウントされます。
$Event = Get-WinEvent -LogName 'Windows PowerShell'
$Event.Count
$Event | Group-Object -Property Id -NoElement | Sort-Object -Property Count -Descending
$Event | Group-Object -Property LevelDisplayName -NoElement
195
Count Name
----- ----
147 600
22 400
21 601
3 403
2 103
Count Name
----- ----
2 Warning
193 InformationGet-WinEvent コマンドレットは、LogName パラメーターを使用して、Windows PowerShell イベント ログを指定します。 イベント オブジェクトは、 $Event 変数に格納されます。 $Eventの Count プロパティは、ログに記録されたイベントの合計数を示します。
$Event変数は、パイプラインから Group-Object コマンドレットに送信されます。 Group-Object は、 Property パラメーターを使用して Id プロパティを指定し、イベント ID 値でオブジェクトをカウントします。 NoElement パラメーターは、オブジェクトの出力から他のプロパティを削除します。 グループ化されたオブジェクトは、パイプラインから Sort-Object コマンドレットに送信されます。 Sort-Object では、 Property パラメーターを使用して、オブジェクトを Count で並べ替えます。 Descending パラメーターは、最大から最下位までの数で出力を表示します。 出力の Count 列には、各イベントの合計数が含まれています。 Name 列には、グループ化されたイベント ID 番号が含まれています。
$Event変数は、パイプラインから Group-Object コマンドレットに送信されます。 Group-Object は、 Property パラメーターを使用して LevelDisplayName プロパティを指定し、 LevelDisplayName でオブジェクトをカウントします。 オブジェクトは、 Warning や Information などのレベルでグループ化されます。
NoElement パラメーターは、出力から他のプロパティを削除します。 出力の Count 列には、各イベントの合計数が含まれています。 Name 列には、グループ化されたLevelDisplayNameが含まれます。
例 11: 名前に指定した文字列を含むエラー イベントを取得する
この例では、ログ名のコンマ区切り文字列を使用します。 出力は、エラーや警告などのレベルとログ名によってグループ化されます。
Get-WinEvent -LogName *PowerShell*, Microsoft-Windows-Kernel-WHEA* |
Group-Object -Property LevelDisplayName, LogName -NoElement |
Format-Table -AutoSize
Count Name
----- ----
1 Error, PowerShellCore/Operational
26 Information, Microsoft-Windows-Kernel-WHEA/Operational
488 Information, Microsoft-Windows-PowerShell/Operational
77 Information, PowerShellCore/Operational
9835 Information, Windows PowerShell
19 Verbose, PowerShellCore/Operational
444 Warning, Microsoft-Windows-PowerShell/Operational
512 Warning, PowerShellCore/OperationalGet-WinEvent コマンドレットは、コンピューターからログ情報を取得します。 LogName パラメーターは、アスタリスク (*) ワイルドカードを含むコンマ区切りの文字列を使用してログ名を指定します。 オブジェクトは、パイプラインから Group-Object コマンドレットに送信されます。 Group-Object では、 Property パラメーターを使用して、オブジェクトを LevelDisplayName および LogName でグループ化します。 NoElement パラメーターは、出力から他のプロパティを削除します。 グループ化されたオブジェクトは、パイプラインから Format-Table コマンドレットに送信されます。 Format-Table では、 AutoSize パラメーターを使用して列の書式を設定します。 Count 列には、各イベントの合計数が含まれます。 Name 列には、グループ化された LevelDisplayName および LogName が含まれます。
例 12: アーカイブされたイベント ログからイベントを取得する
Get-WinEvent は、保存されたログ ファイルからイベント情報を取得できます。 このサンプルでは、ローカル コンピューターに格納されているアーカイブ済みの PowerShell ログを使用します。
Get-WinEvent -Path 'C:\Test\Windows PowerShell.evtx'
ProviderName: PowerShell
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
3/15/2019 13:54:13 403 Information Engine state is changed from Available to Stopped...
3/15/2019 13:54:13 400 Information Engine state is changed from None to Available...
3/15/2019 13:54:13 600 Information Provider "Variable" is Started...
3/15/2019 13:54:13 600 Information Provider "Function" is Started...
3/15/2019 13:54:13 600 Information Provider "FileSystem" is Started...Get-WinEvent コマンドレットは、コンピューターからログ情報を取得します。 Path パラメーターは、ディレクトリとファイル名を指定します。
例 13: アーカイブされたイベント ログから特定の数のイベントを取得する
これらのコマンドは、アーカイブされたイベント ログから特定の数のイベントを取得します。 Get-WinEvent には、イベントの最大数または最も古いイベントを取得できるパラメーターがあります。 このサンプルでは、 C:\Test\PowerShellCore Operational.evtx に格納されているアーカイブされた PowerShell ログを使用します。
Get-WinEvent -Path 'C:\Test\PowerShellCore Operational.evtx' -MaxEvents 100
ProviderName: PowerShellCore
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
3/15/2019 09:54:54 4104 Warning Creating Scriptblock text (1 of 1):...
3/15/2019 09:37:13 40962 Information PowerShell console is ready for user input
3/15/2019 07:56:24 4104 Warning Creating Scriptblock text (1 of 1):...
...
3/7/2019 10:53:22 40961 Information PowerShell console is starting up
3/7/2019 10:53:22 8197 Verbose Runspace state changed to Opening
3/7/2019 10:53:22 8195 Verbose Opening RunspacePoolGet-WinEvent コマンドレットは、コンピューターからログ情報を取得します。 Path パラメーターは、ディレクトリとファイル名を指定します。 MaxEvents パラメーターは、新しいレコードから最も古いものまで、100 個のレコードを表示することを指定します。
例 14: Windows のイベント トレース
Event Tracing for Windows (ETW) は、イベントが発生したときにログにイベントを書き込みます。 イベントは、最も古いものから最新の順序で格納されます。 アーカイブされた ETW ファイルは、TraceLog.etl などの.etlとして保存されます。
イベントはログに書き込まれる順序で一覧表示されるため、 Oldest パラメーターが必要です。
Get-WinEvent -Path 'C:\Tracing\TraceLog.etl' -Oldest |
Sort-Object -Property TimeCreated -Descending |
Select-Object -First 100Get-WinEvent コマンドレットは、アーカイブされたファイルからログ情報を取得します。 Path パラメーターは、ディレクトリとファイル名を指定します。 Oldest パラメーターは、書き込まれた順序で最も古い順にイベントを出力するために使用されます。 オブジェクトはパイプラインから Sort-Object コマンドレットに送信 Sort-Object 、オブジェクトを TimeCreated プロパティの値で降順に並べ替えます。 オブジェクトは、100 個の最新のイベントを表示する Select-Object コマンドレットにパイプラインに送信されます。
例 15: イベント トレース ログからイベントを取得する
この例では、イベント トレース ログ ファイル (.etl) とアーカイブされた Windows PowerShell ログ ファイル (.evtx) からイベントを取得する方法を示します。 1 つのコマンドで複数のファイルの種類を組み合わせることができます。
ファイルには同じ種類の .NET Framework オブジェクト EventLogRecordが含まれているため、同じプロパティでフィルター処理できます。 .etl ファイルから読み取るため、このコマンドには Oldest パラメーターが必要ですが、Oldest パラメーターは各ファイルに適用されます。
Get-WinEvent -Path 'C:\Tracing\TraceLog.etl', 'C:\Test\Windows PowerShell.evtx' -Oldest |
Where-Object { $_.Id -eq '403' }Get-WinEvent コマンドレットは、アーカイブされたファイルからログ情報を取得します。 Path パラメーターは、コンマ区切りのリストを使用して、各ファイル ディレクトリとファイル名を指定します。 Oldest パラメーターは、書き込まれた順序で最も古い順にイベントを出力するために使用されます。 オブジェクトは、パイプラインから Where-Object コマンドレットに送信されます。 Where-Object では、スクリプト ブロックを使用して、 Id 403 のイベントを検索します。 $_変数はパイプライン内の現在のオブジェクトを表し、Id は Event Id プロパティです。
例 16: イベント ログの結果をフィルター処理する
この例では、イベント ログからイベントをフィルター処理して選択するさまざまな方法を示します。 これらのコマンドはすべて、 Windows PowerShell イベント ログから過去 24 時間以内に発生したイベントを取得します。
フィルター メソッドは、 Where-Object コマンドレットを使用するよりも効率的です。 フィルターは、オブジェクトが取得されると適用されます。 Where-Object は、すべてのオブジェクトを取得し、すべてのオブジェクトにフィルターを適用します。
# Using the Where-Object cmdlet:
$Yesterday = (Get-Date) - (New-TimeSpan -Day 1)
Get-WinEvent -LogName 'Windows PowerShell' | Where-Object { $_.TimeCreated -ge $Yesterday }
# Using the FilterHashtable parameter:
$Yesterday = (Get-Date) - (New-TimeSpan -Day 1)
Get-WinEvent -FilterHashtable @{ LogName='Windows PowerShell'; Level=3; StartTime=$Yesterday }
# Using the FilterXML parameter:
$xmlQuery = @'
<QueryList>
<Query Id="0" Path="Windows PowerShell">
<Select Path="System">*[System[(Level=3) and
TimeCreated[timediff(@SystemTime) <= 86400000]]]</Select>
</Query>
</QueryList>
'@
Get-WinEvent -FilterXML $xmlQuery
# Using the FilterXPath parameter:
$XPath = '*[System[Level=3 and TimeCreated[timediff(@SystemTime) <= 86400000]]]'
Get-WinEvent -LogName 'Windows PowerShell' -FilterXPath $XPath例 17: FilterHashtable を使用してアプリケーション ログからイベントを取得する
この例では、 FilterHashtable パラメーターを使用して、 Application ログからイベントを取得します。 ハッシュ テーブルでは、 key/value ペアが使用されます。 FilterHashtable パラメーターの詳細については、「 FilterHashtable を使用した Get-WinEvent クエリの作成」を参照してください。 ハッシュ テーブルの詳細については、「about_Hash_Tables (ハッシュ テーブルについて)」をご覧ください。
$Date = (Get-Date).AddDays(-2)
Get-WinEvent -FilterHashtable @{ LogName='Application'; StartTime=$Date; Id='1003' }Get-Date コマンドレットは、AddDays メソッドを使用して、現在の日付の 2 日前の日付を取得します。 date オブジェクトは、 $Date 変数に格納されます。
Get-WinEvent コマンドレットはログ情報を取得します。 FilterHashtable パラメーターを使用して、出力をフィルター処理します。 LogName キーは、値を Application ログとして指定します。 StartTime キーは、$Date変数に格納されている値を使用します。 Id キーは、イベント ID 値 1003 を使用します。
例 18: FilterHashtable を使用してアプリケーション エラーを取得する
この例では、 FilterHashtable パラメーターを使用して、過去 1 週間に発生した Internet Explorer アプリケーション エラーを検索します。
$StartTime = (Get-Date).AddDays(-7)
Get-WinEvent -FilterHashtable @{
Logname='Application'
ProviderName='Application Error'
Data='iexplore.exe'
StartTime=$StartTime
}Get-Date コマンドレットは、AddDays メソッドを使用して、現在の日付の 7 日前の日付を取得します。 date オブジェクトは、 $StartTime 変数に格納されます。
Get-WinEvent コマンドレットはログ情報を取得します。 FilterHashtable パラメーターを使用して、出力をフィルター処理します。 LogName キーは、値を Application ログとして指定します。 ProviderName キーは、イベントの Source である値 Application Error を使用します。 Data キーは、StartTime キーiexplore.exe変数に格納されている値$StartTime使用します。
例 19: SuppressHashFilter を使用してアプリケーション エラーをフィルター処理する
上記の例 16 と同様に、この例では FilterHashtable パラメーターを使用して、 Application ログからイベントを取得します。 ただし、 SuppressHashFilter キーを追加して、 Information レベルのイベントを除外します。
$Date = (Get-Date).AddDays(-2)
$filter = @{
LogName='Application'
StartTime=$Date
SuppressHashFilter=@{Level=4}
}
Get-WinEvent -FilterHashtable $filterこの例では、Get-WinEventは、Level 4 (情報) を持つものを除き、過去 2 日間の Application ログからすべてのイベントを取得します。
パラメーター
-ComputerName
このコマンドレットがイベント ログからイベントを取得するコンピューターの名前を指定します。 NetBIOS 名、IP アドレス、またはコンピューターの完全修飾ドメイン名 (FQDN) を入力します。 既定値はローカル コンピューターの localhost です。 このパラメーターは、一度に 1 つのみコンピューター名を受け入れます。
リモート コンピューターからイベント ログを取得するには、リモート アクセスを許可するようにイベント ログ サービスのファイアウォール ポートを構成します。
このコマンドレットは、PowerShell リモート処理には依存しません。 コンピューターがリモート コマンドを実行するように構成されていない場合でも、 ComputerName パラメーターを使用できます。
| 型: | String |
| Aliases: | Cn |
| 配置: | Named |
| 規定値: | Local computer |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-Credential
この処理を実行するアクセス許可を持つユーザー アカウントを指定します。 既定値は現在のユーザーです。
User01 や Domain01\User01 などのユーザー名を入力。 または、 PSCredential オブジェクト ( Get-Credential コマンドレットによって生成されたものなど) を入力します。 ユーザー名を入力すると、パスワードの入力を求められます。 パラメーター名のみを入力すると、ユーザー名とパスワードの両方を入力するように求められます。
| 型: | PSCredential |
| 配置: | Named |
| 規定値: | Current user |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-FilterHashtable
1 つ以上のイベント ログからイベントを選択するクエリをハッシュ テーブル形式で指定します。 クエリには、1 つ以上の key/value ペアを持つハッシュ テーブルが含まれています。
ハッシュ テーブル クエリには、次のルールがあります。
- キーと値では大文字と小文字が区別されません。
- ワイルドカード文字は、 LogName および ProviderName キーに関連付けられている値でのみ有効です。
- 各キーは、各ハッシュ テーブルに 1 回だけ一覧表示できます。
- Path 値は、ログ ファイルの
.etl、.evt、および.evtxへのパスを受け取ります。 - LogName、Path、および ProviderName キーは、同じクエリで使用できます。
- UserID キーは、有効なセキュリティ識別子 (SID) またはドメイン アカウント名を受け取ることができ、有効なSystem.Security.Principal.NTAccount オブジェクトを作成するために使用できます。
- Data 値は、名前のないフィールド内のイベント データを受け取ります。 たとえば、クラシック イベント ログのイベントなどです。
<named-data>キーは、名前付きイベント データ フィールドを表します。
Get-WinEventが key/value ペアを解釈できない場合、キーはイベント内のイベント データの大文字と小文字を区別する名前として解釈されます。
有効な Get-WinEvent key/value ペアは次のとおりです。
- LogName=
<String[]> - ProviderName=
<String[]> - Path=
<String[]> - キーワード=
<Long[]> - ID=
<Int32[]> - Level=
<Int32[]> - StartTime=
<DateTime> - EndTime=
<DateTime> - UserID=
<SID> - Data=
<String[]> <named-data>=<String[]>- SuppressHashFilter=
<Hashtable>
| 型: | Hashtable[] |
| 配置: | 0 |
| 規定値: | None |
| 必須: | True |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-FilterXml
このコマンドレットが 1 つ以上のイベント ログからイベントを選択する構造化 XML クエリを指定します。
有効な XML クエリを生成するには、Windows イベント ビューアーの Create Custom View と Filter Current Log 機能を使用します。 ダイアログ ボックス内の項目を使用してクエリを作成し、その後、[XML] タブをクリックして XML 形式でクエリを表示します。 XML タブから FilterXml パラメーターの値に XML をコピーできます。 イベント ビューアーの機能の詳細については、イベント ビューアーのヘルプを参照してください。
XML クエリを使用して、複数の XPath ステートメントを含む複雑なクエリを作成します。 XML 形式では、クエリからイベントを除外する Suppress XML 要素を使用することもできます。 イベント ログ クエリの XML スキーマの詳細については、「 Query スキーマ および Event Selection の XML イベント クエリ」セクションを参照してください。
FilterHashtable パラメーターを使用して、Suppress 要素を作成することもできます。
| 型: | XmlDocument |
| 配置: | 0 |
| 規定値: | None |
| 必須: | True |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-FilterXPath
このコマンドレットが 1 つ以上のログからイベントを選択する XPath クエリを指定します。
XPath 言語の詳細については、「 XPath リファレンス および Event Selectionの選択フィルター」セクションを参照してください。
| 型: | String |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-Force
その他のイベント ログに加え、デバッグ ログと分析ログを取得します。 name パラメーターの値にワイルドカード文字が含まれている場合、デバッグ ログまたは分析ログを取得するには、 Force パラメーターが必要です。
既定では、デバッグ ログまたは分析ログの完全な名前を指定しない限り、 Get-WinEvent コマンドレットはこれらのログを除外します。
| 型: | SwitchParameter |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-ListLog
イベント ログを指定します。 コンマ区切りの一覧で、イベント ログ名を入力します。 ワイルドカードを使用できます。 すべてのログを取得するには、アスタリスク (*) ワイルドカードを使用します。
| 型: | String[] |
| 配置: | 0 |
| 規定値: | None |
| 必須: | True |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | True |
-ListProvider
このコマンドレットが取得するイベント ログ プロバイダーを指定します。 イベント ログ プロバイダーは、イベント ログにイベントを書き込むプログラムまたはサービスです。
コンマ区切りの一覧でプロバイダー名を入力します。 ワイルドカードを使用できます。 コンピューター上のすべてのイベント ログのプロバイダーを取得するには、アスタリスク (*) ワイルドカードを使用します。
| 型: | String[] |
| 配置: | 0 |
| 規定値: | None |
| 必須: | True |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | True |
-LogName
このコマンドレットがイベントを取得するイベント ログを指定します。 コンマ区切りの一覧で、イベント ログ名を入力します。 ワイルドカードを使用できます。 Get-WinEvent コマンドレットにログ名をパイプすることもできます。
Note
PowerShell では、要求できるログの量は制限されません。 ただし、 Get-WinEvent コマンドレットは、256 の制限がある Windows API に対してクエリを実行します。 これにより、一度にすべてのログをフィルター処理するのが困難になる可能性があります。 これを回避するには、 foreach ループを使用して、次のように各ログを反復処理します。 Get-WinEvent -ListLog * | ForEach-Object{ Get-WinEvent -LogName $_.Logname }
| 型: | String[] |
| 配置: | 0 |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | True |
| ワイルドカード文字を受け取る: | True |
-MaxEvents
返されるイベントの最大数を指定します。 100 などの整数を入力します。 既定では、ログやファイル内のすべてのイベントを返します。
| 型: | Int64 |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-Oldest
このコマンドレットが最も古い順にイベントを取得することを示します。 既定では、イベントは新しい順に返されます。
このパラメーターは、 .etl ファイルと .evt ファイル、およびデバッグ ログと分析ログからイベントを取得するために必要です。 これらのファイルでは、イベントは古い順に記録され、イベントは古い順でのみ返すことができます。
| 型: | SwitchParameter |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-Path
このコマンドレットがイベントを取得するイベント ログ ファイルへのパスを指定します。 コンマ区切りの一覧でログ ファイルへのパスを入力するか、ワイルドカード文字を使用してファイル パス パターンを作成します。
Get-WinEvent では、 .evt、 .evtx、および .etl ファイル名拡張子を持つファイルがサポートされます。 同じコマンドで、異なるファイルおよびファイルの種類からのイベントを含めることができます。
| 型: | String[] |
| Aliases: | PSPath |
| 配置: | 0 |
| 規定値: | None |
| 必須: | True |
| パイプライン入力を受け取る: | True |
| ワイルドカード文字を受け取る: | True |
-ProviderName
このコマンドレットがイベントを取得するイベント ログ プロバイダーを、文字列配列として指定します。 コンマ区切りの一覧でプロバイダー名を入力するか、ワイルドカード文字を使用してプロバイダー名パターンを作成します。
イベント ログ プロバイダーは、イベント ログにイベントを書き込むプログラムまたはサービスです。 PowerShell プロバイダーではありません。
| 型: | String[] |
| 配置: | 0 |
| 規定値: | None |
| 必須: | True |
| パイプライン入力を受け取る: | True |
| ワイルドカード文字を受け取る: | True |
入力
LogName (文字列) をこのコマンドレットにパイプできます。
FilterXML クエリをこのコマンドレットにパイプできます。
FilterHashtable クエリをこのコマンドレットにパイプできます。
出力
このコマンドレットは、 ListLog パラメーターを使用して、 EventLogConfiguration オブジェクトを返します。
既定では、このコマンドレットは EventLogRecord オブジェクトを返します。
このコマンドレットは、 ListProvider パラメーターを使用して、 ProviderMetadata オブジェクトを返します。
メモ
Get-WinEvent は、Windows Vista 以降のバージョンの Windows を実行しているコンピューター上の Get-EventLog コマンドレットを置き換えるために設計されています。 Get-EventLog は、クラシック イベント ログでのみイベントを取得します。 Get-EventLog 関数は下位互換性のために残されています。
Get-WinEventコマンドレットとGet-EventLog コマンドレットは、Windows プレインストール環境 (Windows PE) ではサポートされていません。
関連リンク
PowerShell