Bạn ghé thăm diễn đàn lần đầu? hãy đăng ký ngay bây giờ để tham gia.
  • Đăng nhập:

Chào mừng bạn đến với ITVNN FORUM - Diễn đàn công nghệ thông tin.

Nếu đây là lần đầu tiên bạn tham gia diễn đàn, xin mời bạn xem phần Hỏi/Ðáp để biết cách dùng diễn đàn. Để có thể tham gia thảo luận bạn phải đăng ký làm thành viên, click vào đây để đăng ký.


  • Partner Area
    • ITVNN HOSTING - Thiết kế website, Cung cấp Domain, Hosting, VPS Việt Nam Anh Hùng - Thông tin truyền thông
kết quả từ 1 tới 1 trên 1
Tăng kích thước phông chữ Giảm kích thước phông chữ
  1. #1
    Cơn Gió's Avatar

    Đầy Tớ Nhân Dân™

    Trạng thái
    Offline
    Tham gia ngày
    Jun 2010
    Thành viên thứ
    24343
    Giới tính
    Bài gởi
    748
    Level: 44 [?]
    Experience: 3,758,653
    Next Level: 4,297,834
    Cảm ơn 96
    Cảm ơn 265 lần / 159 Bài viết

    Icon15 Sử dụng PowerShell để tạo EventLog  

    Trong bài viết dưới đây, chúng tôi sẽ giới thiệu và hướng dẫn các bạn cách sử dụngPowerShell để tạo các bản ghi log trên hệ thống, cụ thể ở đây là lệnh cmdlet Write-EventLog. Cú pháp cơ bản của lệnh này có dạng:
    PS C:\> help Write-EventLog
    Lưu ý rằng khi sử dụng cmdlet này, các bạn phải khai báo tên file log, source, event id và message tương ứng. Rất giống với công cụ command EVENTCREATE.EXE, nhưng người dùng lại không thể sử dụng các nguồn không theo chuẩn hoặc tương tự như vậy. Mà thay vào đó họ phải khởi tạo những thông số kỹ thuật hoặc nguồn dữ liệu trước tiên. Và 1 trong những cách đơn giản nhất để tìm nguồn dữ liệu là dùng Windows Management Instrumentation (WMI).
    PS C:\> $log=Get-WmiObject win32_nteventlogfile -filter "filename='system'"
    PS C:\> $log.Sources
    System
    ACPI
    adp94xx
    adpahci
    adpu320
    ...
    Nếu 1 trong những nguồn trên có vẻ phù hợp thì các bạn hãy ghi lại thành bản ghi như sau:
    PS C:\> write-eventlog System -source Server -eventid 12345 -message "I am a custom event log message"
    Dạng entry mặc định là Information, người dùng có thể tạo riêng eventID và thay đổi, chỉnh sửa bất kỳ lúc nào:
    PS C:\> get-eventlog system -newest 1 | format-list EventID,EntryType,Source,Message
    EventID : 12345
    EntryType : Information
    Source : Server
    Message : The description for Event ID '12345' in Source 'Server' cannot be
    found. The local computer may not have the necessary registry
    information or message DLL files to display the message, or you
    may not have permission to access them. The following inform
    ation is part of the event:'I am a custom event log message'
    Giả sử rằng nếu muốn tìm kiếm event ID hoặc message bất kỳ nào đó, chắc hẳn sẽ nhận được lỗi nho nhỏ như dưới đây:
    PS C:\> get-eventlog system -newest 1 -message "*custom event*"
    Index Time EntryType Source InstanceID Message
    ----- ---- --------- ------ ---------- -------
    1512222 Jan 25 10:05 Information Server 12345 The des...
    Không thực sự hoàn hảo, nhưng vẫn hoạt động đúng chức năng. Trong khi nếu xét về mặt lý thuyết thì chúng ta có thể đăng ký bằng các nguồn dữ liệu mới, và cũng có thể tạo được bản ghi mới bằng cách dùng cmdlet lệnhNew-Eventlog. Thông thường thì lệnh cmdlet này được áp dụng để những nhà phát triển, lập trình xây dựng 1 mô hình event log cố định. Ví dụ dưới đây, chúng ta sẽ tạo 1 bản ghi log theo dạng custom, đồng thời khởi tạo 1 số nguồn dữ liệu khác nhau.
    PS C:\> new-eventlog -LogName PSLogging -Source ADSI,WMI,Test,Other
    Kiểm tra lại những gì đã được tạo:
    PS C:\> $log=Get-WmiObject win32_NTEventlogfile -filter "filename='PSLogging'"
    PS C:\> $log | fl
    FileSize : 69632
    LogfileName : PSLogging
    Name : C:\Windows\System32\Winevt\Logs\PSLogging.evtx
    NumberOfRecords : 0

    Đó là 1 file log hoàn toàn mới, tiếp theo là việc kiểm tra nguồn dữ liệu – source:
    PS C:\> $log.sources
    PSLogging
    ADSI
    Other
    Test
    WMI
    Và cuối cùng, nhập ít dữ liệu bất kỳ vào đây:
    PS C:\> Write-EventLog PSLogging -Source Test -eventID 1000 -Message "I am the first entry"
    Bên cạnh đó, chúng ta có thể sử dụng bất kỳ event ID nào, hoặc tự khởi tạo chúng theo ý muốn:
    PS C:\> get-eventlog PSLogging | format-list
    Index : 14
    EntryType : Information
    InstanceId : 1000
    Message : I am the first entry
    Category : (1)
    CategoryNumber : 1
    ReplacementStrings : {I am the first entry}
    Source : Test
    TimeGenerated : 1/25/2012 10:45:47 AM
    TimeWritten : 1/25/2012 10:45:47 AM
    UserName :

    Tại bước này, Windows sẽ không “quan tâm” tới event ID nữa. Nếu muốn gán thêm bất kỳ nguồn dữ liệu nào khác, các bạn chỉ cần sử dụng lại lệnh cmdlet New-Eventlog:
    PS C:\> New-EventLog PSLogging -source Scripting
    Và nguồn mới của chúng ta tại đây:
    PS C:\> Get-WmiObject win32_NTEventlogfile -filter "filename='PSLogging'" | Select -expand Sources
    PSLogging
    ADSI
    Other
    Scripting
    Test
    WMI
    Lệnh cmdlet New-Eventlog có tham số –computername đi kèm, do vậy sẽ dễ dàng hơn rất nhiều để khởi tạo 1 eventlog mới bất kỳ trên toàn bộ Desktop hoặc server – nơi chúng ta muốn giám sát, quản lý log. Chúc các bạn thành công!

    T.Anh (Petri)
    Ở đời , khôn sống , dại chết , ngu thì thua thiệt
    Thế thái lạnh như băng , tình người mỏng như tờ giấy



  2. The Following 2 Thank You to Cơn Gió For This Useful Post:

    hanhkhat (21-06-2012),HTT.itvn (19-06-2012)


 

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Similar Threads

  1. Hướng dẫn thực hiện lệnh PowerShell từ xa
    By Cơn Gió in forum Thủ thuật, mẹo vặt
    Trả lời: 0
    Bài mới gởi: 24-06-2012, 10:53 AM
  2. Trả lời: 0
    Bài mới gởi: 15-04-2010, 01:30 PM
  3. Windows PowerShell Scripting Guide
    By MrZen in forum E-books
    Trả lời: 0
    Bài mới gởi: 14-04-2010, 07:11 PM
  4. Trả lời: 0
    Bài mới gởi: 13-04-2010, 02:04 PM
  5. Trả lời: 0
    Bài mới gởi: 12-04-2010, 08:07 PM

Tags for this Thread

Bookmarks

Quuyền Hạn Của Bạn

  • Bạn không thể tạo chủ đề mới
  • Bạn không thể trả lời bài viết
  • Bạn không thể gửi file đính kèm
  • Bạn không thể chỉnh sửa bài viết
  •