Get-Eventlogの使い方から覚えていくPowershellの基本的な使い方

55355 ワード

Get-EventLogの使い方から覚えていこう

Powershell を活用したいと思うなら、まず、Windowsのログを確認できる Get-EventLog の使い方を覚えるのがいいと思う。このコマンドレットは、使い方を覚えたらすぐに活用できる。また、Powershellの使い方のコツを覚えるのに、非常にやりやすい。

Get-EventLog の出力結果を Select-Object にパイプで渡してフィルタをかけたり、 Format-List や Format-Table で表示を変えるたりと、非常に汎用性が高い。GUIでWindows の Log を確認するより、大幅に効率よくログの確認ができるようになる。

また、リモートで他のサーバからログを取得できたり、取得するログの条件を設定できたりと、Windows のコマンドだけではできないような操作を一行で書くこともできる。

Get-EventLogの基本的な使い方

管理者権限を持つユーザでログインしてPowerShellのプロンプトから以下のコマンドを打ち込んで実行する。

↓↓↓↓↓↓↓ あなたの記事の内容
Get-Eventlog -LogName System
───────
Get-EventLog -LogName System
↑↑↑↑↑↑↑ 編集リクエストの内容

↓↓↓↓↓↓↓ あなたの記事の内容
Get-Eventlog の後に -LogName のパラメータに表示するログを指定する。こでだけで、Winndows の System ログがそのまま出力される。Windows のイベントログには何種類かある。-LogName の後に Ctrl + Space で補完をすると、閲覧できるログの一覧が表示される。
───────
Get-EventLog の後に -LogName のパラメータに表示するログを指定する。こでだけで、Windows の System ログがそのまま出力される。Windows のイベントログには何種類かある。-LogName の後に Ctrl + Space で補完をすると、閲覧できるログの一覧が表示される。
↑↑↑↑↑↑↑ 編集リクエストの内容

PS > Get-EventLog -LogName #ここまで入力して Ctrl + Space を入力
Application             Internet Explorer       OAlerts                 System
HardwareEvents          Key Management Service  Security                Windows PowerShell

Get-EventLogのパラメータ

Get-EventLog で以下のパラメータが使用できる。

PS C:\Users\Main> Get-EventLog -LogName System -ComputerName
ComputerName         InstanceId           AsBaseObject         InformationAction    OutBuffer
Newest               Index                Verbose              ErrorVariable        PipelineVariable
After                EntryType            Debug                WarningVariable
Before               Source               ErrorAction          InformationVariable
UserName             Message              WarningAction        OutVariable

-EntryType というパラメータを使うと、エラーやインフォメーションなど出力するログを選ぶことができる。-EntryType の後に以下のログの種類を指定すると、指定した種類のログが出力される。

PS > Get-EventLog -LogName System -EntryType #ここでCtrl + Space を入力
Error         FailureAudit  Information   SuccessAudit  Warning
# 指定できるログの種類が表示されるので、矢印で選んで決定し、コマンドレットを実行する。

-Source や -Massage のパラメータも同様に、入力した文字列でフィルタをかけてログを出力する。文字列にはワイルドカードを使用できる。

PS > Get-EventLog -LogName System -Newest 3 -Source ser* #ser* でヒットしたログを表示

   Index Time          EntryType   Source                 InstanceID Message
   ----- ----          ---------   ------                 ---------- -------
   22315 1 18 11:52    Information Service Control M...   1073748864 Background Intelligent Transfer Service サービ...
   22314 1 18 11:49    Information Service Control M...   1073748864 Background Intelligent Transfer Service サービ...
   22313 1 18 11:48    Information Service Control M...   1073748864 Background Intelligent Transfer Service サービ...

これらのオプションを使えるようになると、コマンドレットでの出力に対してフィルタをかける感覚が掴めてくる。難しい書き方を覚えなくても、欲しい出力がえられるようになる。

時間帯を指定してログを出力する

Get-EventLog には -After と -Before というパラメータがある。これは、時刻を指定して、出力されるログの時間帯をフィルタリングできる。このパラメータの使い方を覚えると、他のコマンドでも時間でのフィルタする方法が分かるようになる。

まず、時刻でログをフィルタする場合は、文字列でyyyy/MM/DD hh:mm:ssの形式で日付を指定する。

PS C:\Users\Main> Get-EventLog -LogName System -After "2020/01/18 12:00:00"

   Index Time          EntryType   Source                 InstanceID Message
   ----- ----          ---------   ------                 ---------- -------
   22352 1 18 19:52    Information Service Control M...   1073748864 Background Intelligent Transfer Service サービ...
   22351 1 18 19:49    Information Service Control M...   1073748864 Background Intelligent Transfer Service サービ...
   22350 1 18 19:47    Information Service Control M...   1073748864 Background
・
・
・

-after のパラメータで"2020/01/18 12:00:00"を指定して、"2020/01/18 12:00:00" 以降のログを取得する。ただ、所定の日付や現在の時刻から○日前のようなログを取得したい場合はどうすればいいのだろうか。まず、パラメータに渡した値が文字列なので、[datetime]の型を指定して、プロパティで日付を計算する。

PS > ([datetime]"2020/1/18").AddDays(-1)
 #文字列の頭間に"[datetime]"を付けて日時のデータに変換する。
2020年1月17日 0:00:00

Get-Date で現在の時刻を出力すると、[datetime]の形式でデータが出力される。[datetime]を指定したのと同様に、*.AddDays()のようなプロパティを使用することができる。書き方を覚えて動かしてみて、その後に仕組を追うと分かりやすい。

PS > (get-date).AddDays(-1)
2020年1月17日 20:07:52 #一日先の時刻になる

このやり方で日時を指定して、今日の日付で出力されたログをフィルタリングしてみる。

↓↓↓↓↓↓↓ あなたの記事の内容
PS > get-eventlog -logName system -after (get-date).AddDays(-1)
───────
PS > Get-EventLog -LogName system -after (get-date).AddDays(-1)
↑↑↑↑↑↑↑ 編集リクエストの内容

   Index Time          EntryType   Source                 InstanceID Message
   ----- ----          ---------   ------                 ---------- -------
   22353 1 18 19:54    Information Service Control M...   1073748864 Background Intelligent Transfer Service サービ...
   22352 1 18 19:52    Information Service Control M...   1073748864 Background Intelligent Transfer Service サービ...
・
・
・

パラメータに -before を指定すると、指定した日付より前の日付でデータをフィルタリングする。

一般的なコマンドレットでのフィルタリング

Get-EventLog のパラメータで出力されるデータのフィルタリングを行ったが、Powershell のコマンドレットの出力は、 ? を使って以下のような書き方で出力にフィルタをかけることができる。

<コマンドレット> | ? { $_.<オブジェクトのメンバー> <演算子> <値> }

詳しい説明は省くが、まず使ってみてやり方を覚えておこう。このやり方で Get-EventLog の EntryType (ログの種類) が Error のデータをフィルタリングすると以下のようになる。

PS > Get-EventLog -LogName system | ?{ $_.EntryType -eq "Error"}

   Index Time          EntryType   Source                 InstanceID Message
   ----- ----          ---------   ------                 ---------- -------
   22324 1 18 19:40    Error       ACPI                   3221553165 : 埋め込みコントローラー (EC) が指定されたタイ...
   22219 1 18 11:40    Error       volmgr                 3221487662 クラッシュ ダンプを初期化できませんでした。
・
・
・

? でフィルタリングをする際に、$_. の後に、Get-EventLog の出力に含まれるメンバの EntryType を指定する。コマンドレットの出力にどのようなメンバが含まれているかは、Get-Member のコマンドレットで調べることができる。

PS C:\Users\Main> Get-EventLog -LogName system -Newest 1 | Get-Member


   TypeName: System.Diagnostics.EventLogEntry#system/DCOM/10016

Name                      MemberType     Definition
----                      ----------     ----------
Disposed                  Event          System.EventHandler Disposed(System.Object, System.EventArgs)
CreateObjRef              Method         System.Runtime.Remoting.ObjRef CreateObjRef(type requestedType)
Dispose                   Method         void Dispose(), void IDisposable.Dispose()
Equals                    Method         bool Equals(System.Diagnostics.EventLogEntry otherEntry), bool Equals(Syste...
GetHashCode               Method         int GetHashCode()
GetLifetimeService        Method         System.Object GetLifetimeService()
GetObjectData             Method         void ISerializable.GetObjectData(System.Runtime.Serialization.Serialization...
GetType                   Method         type GetType()
InitializeLifetimeService Method         System.Object InitializeLifetimeService()
ToString                  Method         string ToString()
Category                  Property       string Category {get;}
CategoryNumber            Property       int16 CategoryNumber {get;}
Container                 Property       System.ComponentModel.IContainer Container {get;}
Data                      Property       byte[] Data {get;}
EntryType                 Property       System.Diagnostics.EventLogEntryType EntryType {get;} # 今回指定したメンバ
Index                     Property       int Index {get;}
InstanceId                Property       long InstanceId {get;}
MachineName               Property       string MachineName {get;}
Message                   Property       string Message {get;}
ReplacementStrings        Property       string[] ReplacementStrings {get;}
Site                      Property       System.ComponentModel.ISite Site {get;set;}
Source                    Property       string Source {get;}
TimeGenerated             Property       datetime TimeGenerated {get;}
TimeWritten               Property       datetime TimeWritten {get;}
UserName                  Property       string UserName {get;}
EventID                   ScriptProperty System.Object EventID {get=$this.get_EventID() -band 0xFFFF;}

フィルタリングする際に使用する演算子は、基本的なもので以下のようなものがある。

演算子	内容
-eq	等しいか比較
-ne	等しくないか比較
-like	ワイルドカードを使ったLike検索にヒットするか
-notlike	ワイルドカードを使ったLike検索にヒットしない
-gt	より大きいか(>)比較
-ge	以上か(>=)比較
-lt	より小さいか(<)比較(大文字小文字を区別する)
-le	以下か(<=)比較(大文字小文字を区別する)

メンバーを指定して出力する

Powershellのコマンドレットでは、出力されたオブジェクトのメンバー全ての情報が画面に出力される訳ではない。Get-Member のメンバーを全て表示すると以下のようになる。

PS > Get-EventLog -LogName System -Newest 1 | Select-Object *


EventID            : 10016
MachineName        : horus
Data               : {}
Index              : 22358
Category           : (0)
CategoryNumber     : 0
EntryType          : Warning
Message            : ソース 'DCOM' のイベント ID '10016' の説明が見つかりません。必要なレジストリ情報またはメッセージを
                     表示するメッセージ DLL ファイルがローカル コンピューターに存在しない可能性があります。または、これ
                     らのデータへのアクセス許可がユーザーに与えられていない可能性があります。次の情報はイベントの一部で
                     す:'コンピューターの既定', 'ローカル', 'アクティブ化', '{C2F03A33-21F5-47FA-B4BB-156362A2F239}', '
                     {316CDED5-E4AE-4B15-9113-7055D84DCC97}', 'HORUS', 'Main', 'S-1-5-21-4290914949-3746008403-17899708
                     94-1001', 'LocalHost (LRPC 使用)', 'Microsoft.Windows.ShellExperienceHost_10.0.18362.449_neutral_n
                     eutral_cw5n1h2txyewy', 'S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2
                     861478708'
Source             : DCOM
ReplacementStrings : {コンピューターの既定, ローカル, アクティブ化, {C2F03A33-21F5-47FA-B4BB-156362A2F239}...}
InstanceId         : 10016
TimeGenerated      : 2020/01/18 20:38:47
TimeWritten        : 2020/01/18 20:38:47
UserName           : HORUS\Main
Site               :
Container          :

Select-Object にコマンドレットの出力をパイプで渡すことで、オブジェクトのメンバーを指定して出力することができる。*(アスタリスク) を指定すれば、全てのオブジェクトが出力される。TimeGenerated と EntryType のメンバーだけを出力したい場合は以下のようにメンバを指定する。

PS > Get-EventLog -LogName System -Newest 1 | Select-Object TimeGenerated ,EntryType

TimeGenerated       EntryType
-------------       ---------
2020/01/18 20:38:47   Warning

コマンドレットの出力で表示したいメンバーを指定してデータをフィルタリングできれば、欲しいデータを出力できるようになる。コマンドレットの出力から必要な箇所を探すより効率的に確認することができる。

表示形式の変更

コマンドレットの出力を Format-Table にパイプで渡すと、データがテーブル形式で出力される。Format-List に渡すとリスト形式で出力される。

PS C:\Users\Main> Get-EventLog -LogName System -Newest 3 | Format-Table

   Index Time          EntryType   Source                 InstanceID Message
   ----- ----          ---------   ------                 ---------- -------
   22426 1 19 19:24    Information Microsoft-Windows...           44 Windows Update は更新プログラムのダウンロードを...
   22425 1 19 19:24    Information Microsoft-Windows...           44 Windows Update は更新プログラムのダウンロードを...
   22424 1 19 19:24    Information Microsoft-Windows...           44 Windows Update は更新プログラムのダウンロードを...


PS C:\Users\Main> Get-EventLog -LogName System -Newest 3 | Format-List


Index              : 22426
EntryType          : Information
InstanceId         : 44
Message            : Windows Update は更新プログラムのダウンロードを開始しました。
Category           : (1)
CategoryNumber     : 1
ReplacementStrings : {9NBLGGH3FRZM-Microsoft.VCLibs.140.00, {5f87c2b0-d4fd-4df1-97bf-5a69007f813f}, 1}
Source             : Microsoft-Windows-WindowsUpdateClient
TimeGenerated      : 2020/01/19 19:24:58
TimeWritten        : 2020/01/19 19:24:58
UserName           : NT AUTHORITY\SYSTEM

Index              : 22425
EntryType          : Information
InstanceId         : 44
・
・
・

コンソールに表示される形は変わるが、データの内容自体は変わらない。List形式で表示された時に項目が多くなるのは、Table形式で出力されたときに画面に表示されていないメンバーが表示されているため。

Powershellでは、コマンドレットを実行したときに取得したデータが全て画面に出力される訳ではない。出力されたデータを調べる事で、欲しいデータが含まれていることがある。コマンドレットを実行して出力されるのは、結果の文字列ではなく、オブジェクトだ。これが分かると、Powershellの使い方が広がる。

Author And Source

この問題について(Get-Eventlogの使い方から覚えていくPowershellの基本的な使い方), 我々は、より多くの情報をここで見つけました https://qiita.com/Anubis_369/items/d0566143a1356a2f8ec5

著者帰属：元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。

Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .

MFCでスレッド関数に非静的メンバー変数を渡す

plugmanを使用して独自のcordovaプラグインを作成する