New-EventLog
Создает новый журнал событий и новый источник событий на локальном или удаленном компьютере.
Синтаксис
New-EventLog
[-LogName] <string>
[-Source] <string[]>
[[-ComputerName] <string[]>]
[-CategoryResourceFile <string>]
[-MessageResourceFile <string>]
[-ParameterResourceFile <string>]
[<CommonParameters>] Описание
Этот командлет создает классический журнал событий на локальном или удаленном компьютере. С его помощью можно также зарегистрировать источник событий, записывающий данные в новый или существующий журнал.
Командлеты, содержащие EventLog существительное (командлеты журнала событий), работают только в классических журналах событий. Чтобы получить события из журналов, использующих технологию журнала событий Windows в Windows Vista и более поздних версиях Windows, используйте Get-WinEvent.
Примеры
Пример 1. Создание журнала событий
Эта команда создает TestLog журнал событий на локальном компьютере и регистрирует новый источник для него.
New-EventLog -Source TestApp -LogName TestLog -MessageResourceFile C:\Test\TestApp.dllПример 2. Добавление нового источника событий в существующий журнал
Эта команда добавляет новый источник событий в NewTestAppжурнал приложений на удаленном компьютере Server01.
$file = "C:\Program Files\TestApps\NewTestApp.dll"
New-EventLog -ComputerName Server01 -Source NewTestApp -LogName Application -MessageResourceFile $file -CategoryResourceFile $fileДля выполнения команды требуется, чтобы NewTestApp.dll файл находился на компьютере Server01.
Параметры
-CategoryResourceFile
Указывает путь к файлу, содержащему строки категорий для исходных событий. Этот файл также известен как файл сообщений о категориях.
Он должен находиться на компьютере, на котором создается журнал событий. Этот параметр не создает и не перемещает файлы.
| Тип: | String |
| Aliases: | CRF |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-ComputerName
Создает журналы событий на указанных компьютерах. По умолчанию используется локальный компьютер.
Имя NetBIOS, IP-адрес или полное доменное имя удаленного компьютера. Чтобы указать локальный компьютер, введите имя компьютера, точку (.) или localhost.
Этот параметр не зависит от удаленного взаимодействия PowerShell. Параметр ComputerName Get-EventLog можно использовать даже в том случае, если компьютер не настроен для выполнения удаленных команд.
| Тип: | String[] |
| Aliases: | CN |
| Position: | 3 |
| Default value: | Local computer |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-LogName
Указывает имя журнала событий.
Если журнал не существует, New-EventLog создает журнал и использует это значение для свойств Log и LogDisplayName нового журнала событий. Если журнал существует, New-EventLog регистрирует новый источник для журнала событий.
| Тип: | String |
| Aliases: | LN |
| Position: | 1 |
| Default value: | None |
| Обязательно: | True |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-MessageResourceFile
Указывает путь к файлу, содержащему строки форматирования сообщений для исходных событий. Этот файл также известен как файл сообщений о событиях.
Он должен находиться на компьютере, на котором создается журнал событий. Этот параметр не создает и не перемещает файлы.
| Тип: | String |
| Aliases: | MRF |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-ParameterResourceFile
Указывает путь к файлу, который содержит строки, используемые для подстановки параметров в описаниях событий. Этот файл также известен как файл сообщений о параметрах.
Он должен находиться на компьютере, на котором создается журнал событий. Этот параметр не создает и не перемещает файлы.
| Тип: | String |
| Aliases: | PRF |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-Source
Указывает имена источников журнала событий, например программ, записывающих данные в журнал событий. Этот параметр является обязательным.
| Тип: | String[] |
| Aliases: | SRC |
| Position: | 2 |
| Default value: | None |
| Обязательно: | True |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
Входные данные
None
В этот командлет нельзя передать входные данные.
Выходные данные
Примечания
Чтобы использовать New-EventLog в Windows Vista и более поздних версиях Windows, откройте PowerShell с помощью параметра "Запуск от имени администратора ".
Для создания источника событий в Windows Vista, Windows XP Professional или Windows Server 2003 необходимо быть членом группы "Администраторы" на компьютере.
При создании журнала событий и источника событий система регистрирует источник для нового журнала, но журнал не создается, пока в него не будет внесена первая запись.
Журналы событий сохраняются операционной системой как файлы.
При создании нового журнала событий связанный файл хранится в $env:SystemRoot\System32\Config каталоге на указанном компьютере.
Имя файла — это первые восемь символов свойства log с расширением .evt имени файла.
Связанные ссылки
PowerShell