RUBRIQUE
about_EventLogs
DESCRIPTION COURTE
Windows PowerShell crée un journal des événements Windows nommé
" Windows PowerShell " pour enregistrer ses événements. Vous
pouvez afficher ce journal dans l'Observateur d'événements ou au moyen
d'applets de commande permettant d'obtenir des événements, telles que
l'applet de commande Get-EventLog. Par défaut, les événements du
moteur et des fournisseurs Windows PowerShell sont enregistrés dans
le journal des événements, mais vous pouvez utiliser les variables de
préférence du journal pour le personnaliser. Par exemple, vous pouvez
ajouter des événements relatifs aux commandes Windows PowerShell.
DESCRIPTION LONGUE
Le journal des événements de Windows PowerShell enregistre les
détails de ses opérations, telles que le démarrage ou l'arrêt du
moteur du programme et des fournisseurs Windows PowerShell. Vous
pouvez également enregistrer des informations sur les commandes
Windows PowerShell.
Dans Windows Vista et les versions ultérieures, le journal des
événements Windows PowerShell se trouve dans le groupe des journaux
relatifs aux applications et services. Le journal Windows PowerShell
est un journal des événements classique qui n'utilise pas la
technologie Windows Eventing. Pour afficher le journal, utilisez
les applets de commande conçues pour les journaux des événements
classiques (par exemple, Get-EventLog).
Affichage du journal des événements Windows PowerShell
Vous pouvez afficher le journal des événements Windows
PowerShell dans l'Observateur d'événements ou au moyen des
applets de commande Get-EventLog et Get-WmiObject. Pour afficher le
contenu du journal Windows PowerShell, tapez :
get-eventlog -logname "Windows PowerShell"
Pour examiner les événements et leurs propriétés, utilisez
l'applet de commande Sort-Object, l'applet de commande
Group-Object et les applets de commande contenant le verbe
Format (applets de commande Format).
Par exemple, pour afficher les événements du journal groupés par ID
d'événement, tapez :
get-eventlog "Windows PowerShell" | format-table -groupby eventid
Vous pouvez également taper :
get-eventlog "Windows PowerShell" | sort-object eventid ` |
group-object eventid
Pour afficher tous les journaux des événements classiques, tapez :
get-eventlog -list
Vous pouvez également utiliser l'applet de commande
Get-WmiObject pour examiner le journal des événements au moyen
des classes WMI (Windows Management Instumentation) liées aux
événements. Par exemple, pour afficher toutes les propriétés du
fichier journal des événements, tapez :
get-wmiobject win32_nteventlogfile | where `
{$_.logfilename -eq "Windows PowerShell"} | format-list -property *
Pour rechercher les classes WMI liées aux événements Win32, tapez :
get-wmiobject -list | where {$_.name -like "win32*event*"}
Pour plus d'informations, tapez " get-help get-eventlog " et
" get-help get-wmiobject ".
Sélection d'événements pour le journal des événements Windows PowerShell
Vous pouvez utiliser les variables de préférence du journal des
événements pour déterminer les événements qui sont enregistrés
dans le journal des événements Windows PowerShell.
Six variables de préférence sont disponibles pour le journal des
événements, c'est-à-dire deux variables pour chacun des trois
composants de journal : le moteur (programme Windows PowerShell),
les fournisseurs et les commandes. Les variables LifeCycleEvent
enregistrent les événements de démarrage et d'arrêt normaux.
Les variables Health enregistrent les événements d'erreur.
Le tableau suivant répertorie les variables de préférence du
journal des événements.
Variable Description
-------------------------- ----------------------------------------
$LogEngineLifeCycleEvent Enregistre le démarrage et l'arrêt de
Windows PowerShell.
$LogEngineHealthEvent Enregistre les erreurs liées au
programme Windows
PowerShell.
$LogProviderLifeCycleEvent Enregistre le démarrage et l'arrêt des
fournisseurs Windows
PowerShell.
$LogProviderHealthEvent Enregistre les erreurs liées aux fournisseurs
Windows PowerShell.
$LogCommandLifeCycleEvent Enregistre le lancement et l'achèvement des
commandes.
$LogCommandHealthEvent Enregistre les erreurs liées aux
commandes.
(Pour plus d'informations sur les fournisseurs Windows
PowerShell, tapez : " get-help about_providers ".)
Par défaut, seuls les types d'événements suivants sont activés :
$LogEngineLifeCycleEvent
$LogEngineHealthEvent
$LogProviderLifeCycleEvent
$LogProviderHealthEvent
Pour activer un type d'événement, définissez sa variable de
préférence sur $true. Par exemple, pour activer des événements
de cycle de vie de commande, tapez :
$LogCommandLifeCycleEvent
Vous pouvez également taper :
$LogCommandLifeCycleEvent = $true
Pour désactiver un type d'événement, définissez sa variable
de préférence sur $false. Par exemple, pour désactiver des
événements de cycle de vie de commande, tapez :
$LogProviderLifeCycleEvent = $false
Les paramètres de variable s'appliquent uniquement à la session
Windows PowerShell active. Pour les appliquer à toutes les sessions
Windows PowerShell, ajoutez-les à votre profil Windows PowerShell.
Sécurité et audit
Le journal des événements Windows PowerShell est conçu pour
indiquer l'activité et fournir des détails opérationnels à
des fins de dépannage.
Toutefois, comme la plupart des journaux des événements
d'applications Windows, le journal des événements Windows
PowerShell n'est pas sécurisé. Il ne doit pas être utilisé
pour réaliser des audits de sécurité ni pour enregistrer
des informations confidentielles ou privées.
Les journaux des événements sont conçus pour être lus et
interprétés par les utilisateurs. Les utilisateurs ont accès en
lecture et en écriture au journal. Un utilisateur malveillant
peut lire un journal des événements sur un ordinateur local ou
distant, enregistrer des données erronées, puis empêcher
l'enregistrement de ses activités.
VOIR AUSSI
Get-EventLog
Get-WmiObject
about_Preference_Variables