New-EventLog
在本機或遠端電腦上建立新的事件記錄檔和新的事件來源。
語法
New-EventLog
[-LogName] <string>
[-Source] <string[]>
[[-ComputerName] <string[]>]
[-CategoryResourceFile <string>]
[-MessageResourceFile <string>]
[-ParameterResourceFile <string>]
[<CommonParameters>] Description
此 Cmdlet 會在本機或遠端電腦上建立新的傳統事件記錄檔。 它也可以註冊寫入新記錄檔或現有記錄檔的事件來源。
包含 EventLog 名詞的 Cmdlet(事件記錄檔 Cmdlet)僅適用於傳統事件記錄檔。
若要從 Windows Vista 和更新版本中使用 Windows 事件記錄技術的記錄檔取得事件,請使用 Get-WinEvent。
範例
範例 1 - 建立新的事件記錄檔
此命令會在本機計算機上建立 TestLog 事件記錄檔,併為其註冊新的來源。
New-EventLog -source TestApp -LogName TestLog -MessageResourceFile C:\Test\TestApp.dll範例 2 - 將新的事件來源新增至現有的記錄檔
此命令會將新的事件來源 NewTestApp 新增至 Server01 遠端電腦上的應用程式記錄檔。
$file = "C:\Program Files\TestApps\NewTestApp.dll"
New-EventLog -ComputerName Server01 -Source NewTestApp -LogName Application -MessageResourceFile $file -CategoryResourceFile $file命令要求 NewTestApp.dll 檔案位於 Server01 計算機上。
參數
-CategoryResourceFile
指定檔案的路徑,其中包含來源事件的類別字串。 這個檔案也稱為類別訊息檔案。
檔案必須存在於正在建立事件記錄檔的計算機上。 此參數不會建立或移動檔案。
| 類型: | String |
| 別名: | CRF |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-ComputerName
在指定的電腦上建立新的事件記錄檔。 預設值為本機計算機。
遠端電腦的 NetBIOS 名稱、IP 位址或完整功能變數名稱。 若要指定本機計算機,請輸入計算機名稱、點 (.), 或 “localhost”。
此參數不依賴 PowerShell 遠端處理。 即使您的電腦未設定為執行遠端命令,您也可以使用 Get-EventLog 的 ComputerName 參數。
| 類型: | String[] |
| 別名: | CN |
| Position: | 3 |
| 預設值: | Local computer |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-LogName
指定事件記錄檔的名稱。
如果記錄不存在,New-EventLog 會建立記錄,並將此值用於新事件記錄檔的 Log 和 LogDisplayName 屬性。 如果記錄檔存在,New-EventLog 註冊事件記錄檔的新來源。
| 類型: | String |
| 別名: | LN |
| Position: | 1 |
| 預設值: | None |
| 必要: | True |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-MessageResourceFile
指定檔案的路徑,其中包含來源事件的訊息格式字串。 這個檔案也稱為事件訊息檔案。
檔案必須存在於正在建立事件記錄檔的計算機上。 此參數不會建立或移動檔案。
| 類型: | String |
| 別名: | MRF |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-ParameterResourceFile
指定檔案的路徑,其中包含用於事件描述中參數替代的字串。 這個檔案也稱為參數訊息檔。
檔案必須存在於正在建立事件記錄檔的計算機上。 此參數不會建立或移動檔案。
| 類型: | String |
| 別名: | PRF |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-Source
指定事件記錄檔來源的名稱,例如寫入事件記錄檔的應用程式程式。 這是必要參數。
| 類型: | String[] |
| 別名: | SRC |
| Position: | 2 |
| 預設值: | None |
| 必要: | True |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
輸入
None
您無法使用管線將輸入傳送至此 Cmdlet。
輸出
備註
若要在 Windows Vista 和更新版本的 Windows 上使用 New-EventLog,請使用 [以系統管理員身分執行] 選項開啟 PowerShell。
若要在 Windows Vista、Windows XP Professional 或 Windows Server 2003 中建立事件來源,您必須是電腦上的 Administrators 群組成員。
當您建立新的事件記錄檔和新的事件來源時,系統會註冊新記錄檔的新來源,但在寫入第一個專案之前,不會建立記錄檔。
操作系統會將事件記錄檔儲存為檔案。
當您建立新的事件記錄檔時,相關聯的檔案會儲存在指定計算機上的 $env:SystemRoot\System32\Config 目錄中。
檔名是 Log 屬性的前八個字元,擴展名為 .evt。