利用PowerShell查询系统日志

最新推荐文章于 2024-07-26 09:40:31 发布
最新推荐文章于 2024-07-26 09:40:31 发布
阅读量573 收藏
点赞数
文章标签: 数据库 运维 操作系统
原文链接:http://www.cnblogs.com/kasoo/archive/2009/04/04/powershell-event-viewer.html
版权

      本人管理者公司的服务器,有时服务器出了问题,就要上去查看系统日志,一直一来使用的都是系统自带的事件查看器,在使用过程中很是不方便:信息只能一条一条的看,没有相关的查询和过滤功能。一直想找个替代工具,不过一直也没有找到。

      这几天在翻看从网上down的一本关于PowerShell的电子书,无意间看到了PowerShell对于查看系统日志的支持,使用的是Get-EventLog这个命令。我们先来看一下这个命令的用法:

Get - EventLog [ - logName] <string >  [ - newest <int > ] [<CommonParameters > ]

Get - EventLog [ - list] [ - asString] [<CommonParameters > ]

第一个用法是查看具体日志用的,第二个用法可以列出系统中所有日志,我们先来看第二个用法的使用:

PS C:\ >  Get - EventLog  - list

  Max(K) Retain OverflowAction        Entries Name
   ------   ------   --------------          -------   ----
      512        7  OverwriteOlder           2 , 167  应用程序
      512        7  OverwriteOlder               0  安全性
      512        7  OverwriteOlder           2 , 629  系统
   15 , 360        0  OverwriteAsNeeded          829  Windows PowerShell

上面的列表和我们在事件查看器中看到的应该是一样的(图片上传不上来,就不截图了).我们再来看第一个用法的使用:

PS C:\ >  Get - EventLog  - LogName application  - Newest  5

Index Time          Type Source                EventID Message
 -----   ----            ----   ------                  -------   -------
14429  四月  04   10 : 42  Info MsiInstaller             11707  Product: Quest PowerG
 14428  四月  04   09 : 57  Info MSSQL $SQLEXPRESS          17403  服务器在空闲  1793  秒
 14427  四月  04   09 : 43  Info MSSQL $SQLEXPRESS          17896  对于 id 为  1  的计划程
 14426  四月  04   09 : 28  Info VMware Server             1103  Virtual machine was a
 14425  四月  04   09 : 27  Info MSSQL $SQLEXPRESS           9688  已启动 Service Broker

-LogName后面跟上日志名称,-Newest指列出最近的几条。日志的名称应该就是我们在第二个用法演示中看到的Name列,不过在使用中文时它不能识别,只能使用英文系统下列出的名称:application、security、system。(这里说的不对,日志的名称应该是用Get-EventLog -AsString命令查看到的内容)

下面我们来看一下如果进行查询和过滤,这里使用的管道操作(提一下,PowerShell管道传递的是对象,不是字符):

ContractedBlock.gif ExpandedBlockStart.gif Code
PS C:\> Get-EventLog application |
>> Where-Object {$_.message -match "正在"|
>> Format-List source,message |
>> more
>>


Source  : MSSQL$SQLEXPRESS
Message : 正在启动数据库 'tempdb'。

Source  : MSSQL$SQLEXPRESS
Message : 正在清除 tempdb 数据库。

Source  : MSSQL$SQLEXPRESS
Message : 服务器正在侦听 ['any' <ipv4> 57964]。

Source  : MSSQL$SQLEXPRESS
Message : 正在启动数据库 'msdb'。

Source  : MSSQL$SQLEXPRESS
Message : 正在启动数据库 'model'。

Source  : MSSQL$SQLEXPRESS
Message : 正在启动数据库 'mssqlsystemresource'。

Source  : MSSQL$SQLEXPRESS
Message : 恢复操作正在数据库 'master' (1)中写入检查点。这只是一条信息性消息,不
          需要用户执行任何操作。

<SPACE> next page; <CR> next line; Q quit

Where-Object后面的就是查询的表达式,你可以跟据你的需要来构造,Format-List后面跟上列表项,可列出你想列的信息,信息也会全部给列出来,最后的more是用来分屏显示的。如果你愿意,可以将输出信息重定向到一个文件里,方便你来查看。

转载于:https://www.cnblogs.com/kasoo/archive/2009/04/04/powershell-event-viewer.html

weixin_30338743
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Powershell 查询 Windows 日志的方法
09-21
主要介绍了Powershell 查询 Windows 日志的方法,需要的朋友可以参考下
windows系统日志自动备份脚本
04-20
在Windows操作系统中,系统日志记录了系统的各种事件,包括安全事件、系统事件、应用程序事件以及网络连接等信息。这些日志数据对于诊断系统问题、排查故障和审计追踪至关重要。因此,定期对系统日志进行备份是维护...
通过powershell操作eventlog
weixin_30642561的博客
09-28 320
relevant command list ~\Desktop> (Get-Command Write-EventLog).Parameters Key Value --- ----- WarningAction System.Management.Automation.ParameterMetada...
PowerShell 监控日志
hong3731的专栏
08-18 1987
使用PowerShell 实时监控日志前言一、实时查看文件二、实时查看并过滤三、ping连接并检查特定端口是否可访问总结 前言 在Linux平台实时监控日志有tail命令,这个命令实时监控日志的时候非常好用,在windows平台也有类似的命令,能实现监控的功能 下面命令可供参考 一、实时查看文件 例如,发送到分析的图像服务器时,需要查看FTP日志文件。可以使用以下的方式来查看 # change directory to the folder containing the necessary file
Powershell 查询 Windows 日志
weixin_33859504的博客
09-16 380
论坛里面有人询问如何使用powershell脚本查询文件修改的审计日志,豆子服务器没开这个功能,不过尝试写了个类似的脚本可以查询日志,并输出对应的xml内容。基本方法是get-winevent, 可以指定对应的eventid,获取列表。如果想获取这个事件具体的内容,需要根据不同事件的xml内容进行变化。比如$Events = Get-WinEvent -ComputerName syddc01 -...
PowerShell获取系统日志
weixin_34072857的博客
06-27 643
$StartTime = (get-date).Date + (new-timespan -Hours 6 -Minutes 35) $EndTime = (get-date).Date + (new-timespan -Hours 6 -Minutes 36) $global:TaskStart $Global:TaskComplete $Global:events...
PowerShell 基础知识:查询 Windows Server 事件日志
allway2的博客
08-03 1548
如果您通过 PowerShell 与 Windows Server 交互,则可以使用 Get-EventLog、Clear-EventLog、Limit-EventLog、New-EventLog、Remove-EventLog、Show-EventLog 和 Write-EvengLog cmdlet 与这些事件日志进行交互。Get-EventLog 是一个非常有用的 cmdlet,在使用 Server Core 机器时,或者如果您只是想检查您管理的计算机上是否发生了特定事件,您肯定会使用它。......
windows使用自带的PowerShell命令工具查看实时日志
nj0128的博客
11-13 3649
windows使用自带的PowerShell命令工具查看实时日志
powershell脚本大全
11-21
7. 脚本应用实例:在"powershell脚本大全"中,可能包含清理日志文件、监控系统性能、自动化部署、用户权限管理、备份和恢复任务等实用脚本。 8. 安全性:PowerShell有严格的执行策略,如限制脚本执行、使用签名验证...
mimikatz_trunk_powershell_
09-29
PowerShell是微软开发的一种命令行接口和脚本语言,特别适合系统管理任务,包括安全审计和漏洞利用。 以下是关于Mimikatz和PowerShell结合使用的详细知识点: 1. **Mimikatz模块**:Mimikatz包含多个模块,如`...
MyPowershell:Powershell代码存储库
04-16
通过这个存储库,用户可以学习如何利用PowerShell进行自动化任务、系统管理、网络诊断、日志分析等,提升IT运维效率。" 【知识点详细说明】 1. PowerShell基础: PowerShell是一种基于.NET Framework的命令行...
powershell提取日志内容
GreyHat OMDBA
02-13 3493
写了一个powershell提取日志内容的脚本,搜索oracle关于ORA的报错信息 #查找结果赋值 $d=Get-ChildItem c:\test -Recurse | where{"script.txt"} #判断文件是否存在,若不存在返回3 if ($d -eq $null ) { write-host " ALERT FILE NO FOUND"
window cmd/PowerShell 实时查看监控日志命令Get-Content,类似与linux shell的tail命令
热门推荐
【小石头的茅坑】
04-20 13万+
【代码】window cmd/PowerShell 实时查看监控日志命令Get-Content,类似与linux shell的tail命令。
PowerShell Get-Eventlog Remote Computer
编程岁月
12-18 981
Src:  http://www.computerperformance.co.uk/powershell/powershell_eventlog_remote.htm#Troubleshooting_the_Remote_Get-Eventlog_Connection   Introduction to Scripting Eventlog on a Remote Computer R
PowerShell 2.0管理事件日志(一)查看和读取事件日志
伊一不舍
04-28 140
PowerShell 2.0管理事件日志(一)查看和读取事件日志事件日志是操作系统用来保存本身及其他程序信息的工具,本文将会介绍如何通过PowerShell脚本阅读事件日志并创建新的日志条目。Windows系统中包含多种事件日志,在Windows XP系统中包括4种主要的事件日志。即应用程序、系统、安全性及Internet...
使用PowerShell实时查看日志文件的变化
weixin_30686845的博客
01-16 3344
开发过程中,会有好多的日志输出到日志文件中了,每次看日志都需要打开,log文件,觉得麻烦 找了个省事的方法 使用PowerShell 使用命令:Get-Content D:\www\webapp1\Logs\t20190116.log -wait Get-Content 获取指定文件的内容 -wait:等待文件输出,每秒检查一次,ctrl+c退出 参考:https://docs.mic...
shell脚本分析apache的访问日志
【CSDN官方推荐】
01-04 372
1. shell脚本分析apache的访问日志 1.1 获取访问日志中每个ip的访问次数 [root@localhost ~]# cat /var/log/httpd/access_log |awk '{print $1}'|sort|uniq -c 2 ::1 10 192.168.153.1 110 192.168.153.130 4 192.168.153.149 119 192.168.153.177 3 192.168.153.183
数据库查询与操作指南-以Nebula图数据库为例
最新发布
DZSpace,专注于计算机科学与技术领域的技术博主,致力于分享实用知识与技巧,帮助读者快速掌握技术要点,共同探索计算机世界的无限可能。欢迎访问DZSpace的博客,一起学习进步!
07-26 323
数据库查询与操作指南-以Nebula图数据库为例
利用PowerShell高效解决Windows Server问题
《Windows Server故障排除与PowerShell》是一本专为Windows Server管理员、IT专业人员和支持人员设计的实用指南,作者Derek Schauland和Donald Jacobs以其丰富的经验,展示了如何利用PowerShell这一强大的工具来快速...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值