Compartilhar via


Get-EventLog

Obtém os eventos em um log de eventos ou uma lista dos logs de eventos, no computador local ou em computadores remotos.

Sintaxe

Get-EventLog [-AsString] [-ComputerName <string[]>] [-List] [<CommonParameters>]

Get-EventLog [-LogName] <string> [[-InstanceId] <Int64[]>] [-After <DateTime>] [-AsBaseObject] [-Before <DateTime>] [-ComputerName <string[]>] [-EntryType <string[]>] [-Index <Int32[]>] [-Message <string>] [-Newest <int>] [-Source <string[]>] [-UserName <string[]>] [<CommonParameters>]

Descrição

O cmdlet Get-EventLog obtém eventos e logs de eventos no computador local e em computadores remotos.

Use os parâmetros de Get-EventLog para procurar eventos usando os valores das propriedades deles. Get-EventLog obtém apenas os eventos que correspondem a todos os valores de propriedade especificados.

Os cmdlets que contêm o nome EventLog (os cmdlets EventLog) funcionam somente em logs de eventos clássicos. Para obter eventos de logs que usam a tecnologia de Log de Eventos do Windows no Windows Vista e em versões mais recentes do Windows, use Get-WinEvent.

Parâmetros

-After <DateTime>

Obtém apenas os eventos que ocorrem após a data e a hora especificadas. Insira um objeto DateTime, como aquele retornado pelo cmdlet Get-Date.

Necessário?

false

Posição?

named

Valor padrão

Aceitar entrada do pipeline?

false

Aceitar caracteres curinga?

false

-AsBaseObject

Retorna um objeto System.Diagnostics.EventLogEntry padrão para cada evento. Sem esse parâmetro, Get-EventLog retorna um objeto PSObject estendidos com as propriedades adicionais EventLogName, Source e InstanceId.

Para ver o efeito deste parâmetro, envie por pipe os eventos para o cmdlet Get-Member e examine o valor TypeName no resultado.

Necessário?

false

Posição?

named

Valor padrão

False

Aceitar entrada do pipeline?

false

Aceitar caracteres curinga?

false

-AsString

Retorna a saída como cadeias de caracteres em vez de objetos.

Necessário?

false

Posição?

named

Valor padrão

Aceitar entrada do pipeline?

false

Aceitar caracteres curinga?

false

-Before <DateTime>

Obtém apenas os eventos que ocorrem antes da data e da hora especificadas. Insira um objeto DateTime, como aquele retornado pelo cmdlet Get-Date.

Necessário?

false

Posição?

named

Valor padrão

Aceitar entrada do pipeline?

false

Aceitar caracteres curinga?

false

-ComputerName <string[]>

Especifica um computador remoto. O padrão é o computador local.

Digite o nome NetBIOS, um endereço IP ou um nome de domínio totalmente qualificado de um computador remoto. Para especificar o computador local, digite o nome do computador, um ponto (.) ou "localhost".

Este parâmetro não se baseia na comunicação remota do Windows PowerShell. É possível usar o parâmetro ComputerName de Get-EventLog mesmo que o seu computador não esteja configurado para executar comandos remotos.

Necessário?

false

Posição?

named

Valor padrão

Aceitar entrada do pipeline?

false

Aceitar caracteres curinga?

false

-EntryType <string[]>

Obtém apenas os eventos com o tipo de entrada especificado. Os valores válidos são Error, Information, FailureAudit, SuccessAudit e Warning. O padrão são todos os eventos.

Necessário?

false

Posição?

named

Valor padrão

Todos os eventos

Aceitar entrada do pipeline?

false

Aceitar caracteres curinga?

false

-Index <Int32[]>

Obtém apenas os eventos com os valores de índice especificados.

Necessário?

false

Posição?

named

Valor padrão

Todos os eventos

Aceitar entrada do pipeline?

false

Aceitar caracteres curinga?

false

-InstanceId <Int64[]>

Obtém apenas os eventos com as IDs de instância especificadas.

Necessário?

false

Posição?

2

Valor padrão

Aceitar entrada do pipeline?

false

Aceitar caracteres curinga?

false

-List

Obtém uma lista de logs de eventos no computador.

Necessário?

false

Posição?

named

Valor padrão

Aceitar entrada do pipeline?

false

Aceitar caracteres curinga?

false

-LogName <string>

Especifica o log de eventos. Insira o nome do log (o valor da propriedade Log e não LogDisplayName) de um log de eventos. Não são permitidos caracteres curinga. Esse parâmetro é obrigatório.

Necessário?

true

Posição?

1

Valor padrão

Aceitar entrada do pipeline?

false

Aceitar caracteres curinga?

false

-Message <string>

Obtém os eventos que têm a cadeia de caracteres especificada nas respectivas mensagens. Você pode usar esta propriedade para procurar mensagens que contêm certas palavras ou frases. Os caracteres curinga são permitidos.

Necessário?

false

Posição?

named

Valor padrão

Aceitar entrada do pipeline?

false

Aceitar caracteres curinga?

true

-Newest <int>

Especifica o número máximo de eventos recuperados. Get-EventLog obtém o número de eventos especificado, começando com o evento mais recente no log.

Necessário?

false

Posição?

named

Valor padrão

Aceitar entrada do pipeline?

false

Aceitar caracteres curinga?

false

-Source <string[]>

Obtém os eventos que foram gravados no log pelas origens especificadas. Os caracteres curinga são permitidos.

Necessário?

false

Posição?

named

Valor padrão

Aceitar entrada do pipeline?

false

Aceitar caracteres curinga?

true

-UserName <string[]>

Obtém apenas os eventos associados aos nomes de usuário especificados. Insira nomes ou padrões de nomes, como User01, User* ou Domain01\User*. Os caracteres curinga são permitidos.

Necessário?

false

Posição?

named

Valor padrão

Aceitar entrada do pipeline?

false

Aceitar caracteres curinga?

true

<CommonParameters>

Esse cmdlet oferece suporte aos parâmetros comuns: -Verbose, -Debug, -ErrorAction, -ErrorVariable, -OutBuffer e -OutVariable. Para obter mais informações, consulte about_Commonparameters.

Entradas e saídas

O tipo de entrada é o tipo dos objetos que você pode canalizar para o cmdlet. O tipo de retorno é o tipo dos objetos que o cmdlet retorna.

Entradas

Nenhum.

Você não pode canalizar a entrada para este cmdlet.

Saídas

System.Diagnostics.EventLogEntry. System.Diagnostics.EventLog. System.String

Caso o parâmetro LogName seja especificado, a saída será uma coleção de objetos EventLogEntry (System.Diagnostics.EventLogEntry). Caso apenas o parâmetro List seja especificado, a saída será uma coleção de objetos EventLog (System.Diagnostics.EventLog). Se os parâmetros List e AsString forem especificados, a saída será uma coleção de Strings (System.String).

Exemplo 1

C:\PS>get-eventlog -list

Descrição
-----------
Esse comando exibe informações sobre os logs de eventos do computador.





Exemplo 2

C:\PS>get-eventlog -newest 5 -logname application

Descrição
-----------
Esse comando exibe as cinco entradas mais recentes no log de eventos Application.





Exemplo 3

C:\PS>$events = get-eventlog -logname system -newest 1000

C:\PS> $events | group-object -property source -noelement | sort-object -property count -descending

Count Name
----- ----
   75 Service Control Manager
   12 Print
    6 UmrdpService
    2 DnsApi
    2 DCOM
    1 Dhcp
    1 TermDD
    1 volsnap

Descrição
-----------
Este exemplo mostra como localizar todas as origens representadas nas 1000 entradas mais recentes no log de eventos System.

O primeiro comando obtém as 1000 entradas mais recentes do log de eventos System e as armazena na variável $events. 

O segundo comando usa o operador de pipeline (|) para enviar os eventos em $events para o cmdlet Group-Object, que agrupa as entradas pelo valor da propriedade Source. O comando usa um segundo operador de pipeline para enviar os eventos agrupados para o cmdlet Sort-Object, que os classifica em ordem decrescente, para que seja listada primeiro a origem mais frequente.

Source é apenas uma das propriedades das entradas de logs de eventos. Para ver todas as propriedades de uma entrada de log de eventos, envie os eventos por pipe para o cmdlet Get-Member.





Exemplo 4

C:\PS>get-eventlog -logname System -EntryType Error

Descrição
-----------
Esse comando obtém apenas os eventos de erro do log de eventos System.





Exemplo 5

C:\PS>get-eventlog -logname System -instanceID 3221235481 -Source "DCOM"

Descrição
-----------
Esse comando obtém eventos do log System cuja InstanceID é igual a 3221235481 e o valor de Source é "DCOM".





Exemplo 6

C:\PS>get-eventlog -logname "Windows PowerShell" -computername localhost, Server01, Server02

Descrição
-----------
Esse comando obtém os eventos do log de eventos "Windows PowerShell" em três computadores, Server01, Server02 e o computador local, conhecido como "localhost".





Exemplo 7

C:\PS>get-eventlog -logname "Windows PowerShell" -message "*failed*"

Descrição
-----------
Esse comando obtém todos os eventos no log de eventos Windows PowerShell que têm um valor de mensagem que inclui a palavra "failed".





Exemplo 8

C:\PS>$a = get-eventlog -log System -newest 1

C:\PS> $a | format-list -property *

EventID            : 7036
MachineName        : Server01
Data               : {}
Index              : 10238
Category           : (0)
CategoryNumber     : 0
EntryType          : Information
Message            : The description for Event ID
Source             : Service Control Manager
ReplacementStrings : {WinHTTP Web Proxy Auto-Disco
InstanceId         : 1073748860
TimeGenerated      : 4/11/2008 9:56:05 PM
TimeWritten        : 4/11/2008 9:56:05 PM
UserName           :
Site               :
Container          :

Descrição
-----------
Este exemplo mostra como exibir todos os valores de propriedades de um evento. 

O primeiro comando obtém o evento mais recente do log de eventos System e o salva na variável $a. 

O segundo comando usa um operador de pipeline (|) para enviar o evento em $a para o comando Format-List, que exibe todas (*) as propriedades do evento.





Exemplo 9

C:\PS>get-eventlog -log application -source outlook | where {$_.eventID -eq 34}

Descrição
-----------
Esse comando obtém os eventos no log de eventos Application, no qual a origem é o Outlook e a ID do evento é 34. Embora Get-EventLog não tenha um parâmetro EventID, você pode usar o cmdlet Where-Object para selecionar eventos com base no valor de qualquer propriedade de evento.





Exemplo 10

C:\PS>get-eventlog -log system -username NT* | group-object -property username -noelement | format-table Count, Name -auto

Count Name
----- ----
 6031 NT AUTHORITY\SYSTEM
   42 NT AUTHORITY\LOCAL SERVICE
    4 NT AUTHORITY\NETWORK SERVICE

Descrição
-----------
Esse comando retorna os eventos no log do sistema agrupados pelo valor da propriedade UserName. O comando Get-EventLog usa o parâmetro UserName para obter somente os eventos nos quais o nome do usuário começa com "NT*".





Exemplo 11

C:\PS>$May31 = get-date 5/31/08

C:\PS> $July1 = get-date 7/01/08

C:\PS> get-eventlog -log "Windows PowerShell" -entrytype Error -after $may31 -before $july1

Descrição
-----------
Esse comando obtém todos os erros no log de eventos Windows PowerShell que ocorreram em junho de 2008.





Consulte também

Conceitos

Get-WinEvent
Clear-EventLog
Limit-EventLog
New-EventLog
Remove-EventLog
Show-EventLog
Write-EventLog
Get-WinEvent