New-WinEvent
為指定的事件提供者建立新的 Windows 事件。
語法
New-WinEvent
[-ProviderName] <String>
[-Id] <Int32>
[-Version <Byte>]
[[-Payload] <Object[]>]
[<CommonParameters>] Description
此 Cmdlet 只能在 Windows 平臺上使用。
New-WinEvent Cmdlet 會為事件提供者建立 Windows 事件追蹤 (ETW) 事件。
您可以使用此 Cmdlet,從 PowerShell 將事件新增至 ETW 通道。
範例
範例 1 - 建立新的事件
New-WinEvent -ProviderName Microsoft-Windows-PowerShell -Id 45090 -Payload @("Workflow", "Running")此命令會使用 New-WinEvent Cmdlet,為MicrosoftWindows-PowerShell 提供者建立事件 45090。
範例 2 - 取得事件的範本
在此範例中,Get-WinEvent 用來從組策略事件提供者取得事件標識碼 8007 的範本。 請注意,事件有兩種格式。
在版本 0 中,isMachine 欄位是布爾值。 在 1 版中,IsMachine 字段是無符號整數值。
(Get-WinEvent -ListProvider Microsoft-Windows-GroupPolicy).Events | Where-Object Id -eq 8007
Id : 8007
Version : 0
LogLink : System.Diagnostics.Eventing.Reader.EventLogLink
Level : System.Diagnostics.Eventing.Reader.EventLevel
Opcode : System.Diagnostics.Eventing.Reader.EventOpcode
Task : System.Diagnostics.Eventing.Reader.EventTask
Keywords : {}
Template : <template xmlns="http://schemas.microsoft.com/win/2004/08/events">
<data name="PolicyElaspedTimeInSeconds" inType="win:UInt32" outType="xs:unsignedInt"/>
<data name="ErrorCode" inType="win:UInt32" outType="win:HexInt32"/>
<data name="PrincipalSamName" inType="win:UnicodeString" outType="xs:string"/>
<data name="IsMachine" inType="win:Boolean" outType="xs:boolean"/>
<data name="IsConnectivityFailure" inType="win:Boolean" outType="xs:boolean"/>
</template>
Description : Completed periodic policy processing for user %3 in %1 seconds.
Id : 8007
Version : 1
LogLink : System.Diagnostics.Eventing.Reader.EventLogLink
Level : System.Diagnostics.Eventing.Reader.EventLevel
Opcode : System.Diagnostics.Eventing.Reader.EventOpcode
Task : System.Diagnostics.Eventing.Reader.EventTask
Keywords : {}
Template : <template xmlns="http://schemas.microsoft.com/win/2004/08/events">
<data name="PolicyElaspedTimeInSeconds" inType="win:UInt32" outType="xs:unsignedInt"/>
<data name="ErrorCode" inType="win:UInt32" outType="win:HexInt32"/>
<data name="PrincipalSamName" inType="win:UnicodeString" outType="xs:string"/>
<data name="IsMachine" inType="win:UInt32" outType="xs:unsignedInt"/>
<data name="IsConnectivityFailure" inType="win:Boolean" outType="xs:boolean"/>
</template>
Description : Completed periodic policy processing for user %3 in %1 seconds.
Description 屬性包含寫入事件記錄檔的訊息。
%3 和 %1 值是傳遞至範本的值佔位元。
%3 字串會取代為傳遞至 PrincipalSamName 字段的值。
%1 字串會取代為傳遞至 [PolicyElaspedTimeInSeconds] 字段的值。
範例 3 - 使用已建立版本的範本建立新事件
此範例示範如何使用特定範本版本建立事件。
$Payload = @(300, [uint32]'0x8001011f', $env:USERNAME, 0, 1)
New-WinEvent -ProviderName Microsoft-Windows-GroupPolicy -Id 8007 -Version 1 -Payload $Payload
Get-winEvent -ProviderName Microsoft-Windows-GroupPolicy -MaxEvents 1
ProviderName: Microsoft-Windows-GroupPolicy
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
5/4/2022 8:40:24 AM 8007 Information Completed periodic policy processing for user User1 in 300 seconds如果承載中的值不符合範本中的類型,則會記錄事件,但承載包含錯誤。
參數
-Id
指定事件提供者中註冊的事件標識碼。
| 類型: | Int32 |
| Position: | 1 |
| 預設值: | None |
| 必要: | True |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-Payload
承載是當做位置自變數傳遞至事件範本的值數位。 這些值會插入範本中,以建構事件的訊息。 事件可以有多個使用不同格式的範本版本。
如果承載中的值不符合範本中的類型,則會記錄事件,但承載包含錯誤。
| 類型: | Object[] |
| Position: | 2 |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-ProviderName
指定將事件寫入事件記錄檔的事件提供者,例如 「Microsoft-Windows-PowerShell」。。 ETW 事件提供者是將事件寫入 ETW 工作階段的邏輯實體。
| 類型: | String |
| Position: | 0 |
| 預設值: | None |
| 必要: | True |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-Version
指定事件的版本號碼。 PowerShell 會將數字轉換成必要的 Byte 類型。 當定義相同事件的不同版本時,值會指定事件的版本。
| 類型: | Byte |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
輸入
None
您無法使用管線將物件傳送至此 Cmdlet。
輸出
None
此 Cmdlet 不會傳回任何輸出。
備註
提供者將事件寫入事件記錄檔之後,您可以使用 Get-WinEvent Cmdlet 從事件記錄檔取得事件。
