環境
- Windows Server 2019 Datacenter Evaluation
- Windows Server 2016 Datacenter Evaluation
- Windows Server 2012 R2 Datacenter
- Windows Server 2008 R2 Datacenter
- Windows Server 2003 Standard Edition SP2
- Windows 10 Professional
ログと日時の範囲を指定する
以下の条件でログを抽出します。
ログ:Application
日付:2019/12/09 00:00:00 ~ 2019/12/09 23:59:59
Get-WinEvent -LogName Application | Where-Object{$_.TimeCreated -gt "2019/12/09 00:00:00" -and $_.TimeCreated -le "2019/12/09 23:59:59"}
----------------------------------------
ProviderName: SecurityCenter
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
2019/12/09 17:32:59 15 情報 状態が Windows Defender から SECURITY_PRODUCT_STATE_ON に正常に更新されました。
2019/12/09 17:32:59 15 情報 状態が Windows Defender から SECURITY_PRODUCT_STATE_ON に正常に更新されました。
2019/12/09 17:32:57 15 情報 状態が Windows Defender から SECURITY_PRODUCT_STATE_ON に正常に更新されました。
2019/12/09 17:32:57 15 情報 状態が Windows Defender から SECURITY_PRODUCT_STATE_ON に正常に更新されました。
・・・上記の方法は、Applicationログ内のすべてのレコードを取り出してから検索するのでログサイズが大きいとかなり時間がかかります。そこで、次項のように「-FilterHashTable」パラメータを使用してイベントログを事前に絞り込むと時間を短縮できます。
ログと日時の範囲を指定する(-FilterHashTable)
以下の条件でログを抽出します。
ログ:Application
日付:2019/12/09 00:00:00 ~ 2019/12/09 23:59:59
Get-WinEvent -FilterHashTable @{LogName="Application"; StartTime="2019/12/01 00:00:00"; EndTime="2019/12/01 23:59:59";}
----------------------------------------
ProviderName: SecurityCenter
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
2019/12/09 17:32:59 15 情報 状態が Windows Defender から SECURITY_PRODUCT_STATE_ON に正常に更新されました。
2019/12/09 17:32:59 15 情報 状態が Windows Defender から SECURITY_PRODUCT_STATE_ON に正常に更新されました。
2019/12/09 17:32:57 15 情報 状態が Windows Defender から SECURITY_PRODUCT_STATE_ON に正常に更新されました。
2019/12/09 17:32:57 15 情報 状態が Windows Defender から SECURITY_PRODUCT_STATE_ON に正常に更新されました。
・・・ログとサーバとエラーレベルを指定する
以下の条件でログを抽出します。
ログ:Application
サーバ:Windows2008(Windows Server 2008)
エラーレベル:2(0:情報 1:警告 2:エラー)
Get-WinEvent -computername "windows2008" -FilterHashTable @{LogName="Application"; Level=2}
----------------------------------------
ProviderName: Microsoft-Windows-WMI
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
2019/12/09 18:42:54 10 エラー クエリ "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE ...
2019/12/09 18:38:29 10 エラー クエリ "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE ...
2019/12/09 18:32:39 10 エラー クエリ "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE ...
・・・ログとサーバと日時とイベントIDと件数を指定する
以下の条件でログを抽出します。
ログ:System
サーバ:Windows2008(Windows Server 2008)
日時:2019/12/09 19:00:00以降
イベントID:6005
件数:最新のログから2件取得
Get-WinEvent -computername "windows2008" -FilterHashTable @{LogName="System"; StartTime="2019/12/09 19:00:00"; ID=6005} -MaxEvent 2
----------------------------------------
ProviderName: EventLog
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
2019/12/09 20:14:19 6005 情報 イベント ログ サービスが開始されました。
2019/12/09 19:53:57 6005 情報 イベント ログ サービスが開始されました。
・・・ログと指定したイベントIDを除外する
以下の条件でログを抽出します。
ログ:Windows Defender
サーバ:Windows2016(Windows Server 2016)
イベントID:1150を除外
Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational" -FilterXPath "*[System[(EventID!=1150)]]"
----------------------------------------
ProviderName: Microsoft-Windows-Windows Defender
TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
2020/03/27 6:24:08 5010 情報 Windows Defender ウイルス対策 スキャンがスパイウェアおよび他の望ましくない可能
性のあるソフトウェアに対して無効になりました。
2020/03/27 6:24:08 5012 情報 Windows Defender ウイルス対策 スキャンがウイルスに対して無効になっています。
・・・