THEMA

about_EventLogs
KURZBESCHREIBUNG
In Windows PowerShell wird ein "Windows PowerShell" genanntes Windows-
Ereignisprotokoll erstellt, in dem Windows PowerShell-Ereignisse
aufgezeichnet werden. Sie knnen dieses Protokoll in der
Ereignisanzeige oder mit Cmdlets anzeigen, die Ereignisse abrufen, z. B.
dem Cmdlet "Get-EventLog". Standardmig werden Windows
PowerShell-Modul- und Anbieterereignisse im Ereignisprotokoll
aufgezeichnet, jedoch knnen Sie dieses ber seine Einstellungsvariabl
en anpassen. So knnen Sie beispielsweise Ereignisse zu Windows
PowerShell-Befehlen hinzufgen.
DETAILBESCHREIBUNG
Das Windows PowerShell-Ereignisprotokoll zeichnet Details von
Windows PowerShell-Vorgngen auf, z. B. das Starten und Beenden
des Programmmoduls und das Starten und Beenden der Windows
PowerShell-Anbieter. Sie knnen auch Details zu Windows
PowerShell-Befehlen protokollieren.
In Windows Vista und hheren Versionen ist das Windows
PowerShell-Ereignisprotokoll in der Gruppe "Anwendungs- und
Dienstprotokolle" verfgbar. Das Windows PowerShell-Protokoll ist
ein klassisches Ereignisprotokoll, fr das die Windows-Ereignis-
technologie nicht verwendet wird. Zum Anzeigen des Protokolls
verwenden Sie die Cmdlets fr klassische Ereignisprotokolle, z. B.
Get-EventLog.
Anzeigen des Windows PowerShell-Ereignisprotokolls
Das Windows PowerShell-Ereignisprotokoll knnen Sie in der
Ereignisanzeige oder mit den Cmdlets "Get-EventLog" und
"Get-WmiObject" anzeigen. Wenn Sie den Inhalt des Windows
PowerShell-Protokolls anzeigen mchten, geben Sie Folgendes ein:
get-eventlog -logname "Windows PowerShell"

Zum Untersuchen der Ereignisse und deren Eigenschaften
verwenden Sie die Cmdlets "Sort-Object", "Group-Object" oder
die Cmdlets, die das Verb "Format" (die Format-Cmdlets) enthalten.
Wenn Sie zum Beispiel die Ereignisse im Protokoll nach der
Ereignis-ID gruppiert anzeigen mchten, geben Sie Folgendes ein:
get-eventlog "Windows PowerShell" | format-table -groupby eventid
Sie knnen auch Folgendes eingeben:
get-eventlog "Windows PowerShell" | sort-object eventid `
| group-object eventid
Wenn Sie alle klassischen Ereignisprotokolle anzeigen mchten, geben Sie Fol
gendes ein:
get-eventlog -list

Mit dem Cmdlet "Get-WmiObject" knnen Sie auch die
ereignisbezogenen WMI-Klassen (Windows Management
Instrumentation, Windows-Verwaltungsinstrumentation) verwenden,
um das Ereignisprotokoll zu untersuchen.
Geben Sie beispielsweise zum Anzeigen aller Eigenschaften der
Ereignisprotokolldatei Folgendes ein:
get-wmiobject win32_nteventlogfile | where `
{$_.logfilename -eq "Windows PowerShell"} | format-list -property *
Zum Suchen ereignisbezogener Win32-WMI-Klassen geben Sie
Folgendes ein:
get-wmiobject -list | where {$_.name -like "win32*event*"}
Weitere Informationen erhalten Sie mit den Befehlen "get-help
get-eventlog" und "get-help get-wmiobject".
Auswhlen von Ereignissen fr das Windows PowerShell-Ereignisprotokoll
Mit den Einstellungsvariablen fr das Ereignisprotokoll knnen
Sie die Ereignisse bestimmen, die im Windows PowerShell-Ereignis-
protokoll aufgezeichnet werden.
Fr das Ereignisprotokoll sind sechs Einstellungsvariablen
verfgbar: zwei Variablen fr jede der drei Protokollierungs-
komponenten, das Modul (Programm Windows PowerShell), die Anbieter
und die Befehle. Mit den LifeCycleEvent-Variablen werden
normale Start- und Beendigungsereignisse protokolliert. ber
die Integrittsvariablen werden Fehlerereignisse protokolliert.
In der folgenden Tabelle sind die Einstellungsvariablen fr das
Ereignisprotokoll aufgefhrt.
Variable Beschreibung
-------------------------- ----------------------------------------
$LogEngineLifeCycleEvent Protokolliert Start- und Beendigungsvorg
nge von Windows PowerShell.
$LogEngineHealthEvent Protokolliert Windows
PowerShell-Programmfehler.
$LogProviderLifeCycleEvent Protokolliert Start- und Beendigungsvorgn
ge
von Windows PowerShell-Anbietern.
$LogProviderHealthEvent Protokolliert Windows PowerShell-Anbiete
r
fehler.
$LogCommandLifecycleEvent Protokolliert den Start und den
Abschluss von Befehlen.
$LogCommandHealthEvent Protokolliert Befehlsfehler.
(Weitere Informationen zu Windows PowerShell-Anbietern erhalten
Sie mit folgendem Befehl: "get-help about_providers".)
Standardmig sind nur die folgenden Ereignistypen aktiviert:
$LogEngineLifeCycleEvent
$LogEngineHealthEvent
$LogProviderLifeCycleEvent
$LogProviderHealthEvent
Zum Aktivieren eines Ereignistyps legen Sie dessen
Einstellungsvariable auf $true fest. Wenn Sie beispielsweise
Lebenszyklusereignisse fr Befehle aktivieren mchten, geben
Sie Folgendes ein:
$LogCommandLifecycleEvent
Sie knnen auch Folgendes eingeben:
$LogCommandLifeCycleEvent = $true
Zum Deaktivieren eines Ereignistyps legen Sie dessen
Einstellungsvariable auf $false fest. Wenn Sie beispielsweise
Lebenszyklusereignisse fr Befehle deaktivieren mchten, geben
Sie Folgendes ein:
$LogProviderLifeCycleEvent = $false

Die Variableneinstellungen sind nur fr die aktuelle Windows
PowerShell-Sitzung gltig. Wenn Sie sie auf alle Windows
PowerShell-Sitzungen anwenden mchten, fgen Sie sie dem
Windows PowerShell-Profil hinzu.
Sicherheit und berwachung
Das Windows PowerShell-Ereignisprotokoll wurde entworfen, um
Aktivitten anzugeben und Funktionsdetails fr die Problembehandlung
bereitzustellen.
Wie jedoch die meisten Windows-basierten Anwendungsereignisproto-
kolle bietet das Windows PowerShell-Ereignisprotokoll keine
Sicherheit. Es sollte nicht verwendet werden, um die Sicherheit
zu berwachen oder um vertrauliche oder herstellereigene
Informationen aufzuzeichnen.
Ereignisprotokolle sollen von den Benutzern gelesen und
verstanden werden. Benutzer knnen im Protokoll lesen und schreiben.
Bswillige Benutzer knnen beispielsweise ein Ereignisprotokoll auf
einem lokalen oder Remotecomputer lesen, falsche Daten aufzeichnen
und dann die Protokollierung ihrer Aktivitten verhindern.
SIEHE AUCH
Get-EventLog
Get-WmiObject
about_Preference_Variables