アプリケーションのバックアップ ステータスを確認する特定のイベントを確認するために、特定の期間のアプリケーション イベント ログを照会しようとしています。バックアップ スケジュールは午後 10 時から午後 11 時の間に設定されているため、イベント ID 18264 に関する情報を取得しようとしています。
私が使う:
gwmi -computername somename -namespace root\cimv2 -query "Select EventCode from Win32_NTLogEvent where LogFile = 'Application' and EventCode = '18264'"
ここで、複数の出力が得られます。出力を最新に基づく1に制限したい。例; 昨日の午後 10 時から午後 11 時までのイベント ID を取得します。列が TimeWritten として表示されます。誰か助けてくれませんか?ありがとう!
イベントログを読み取るための特定のコマンドレットがあります。これらは、WMIを使用するよりもはるかに簡単です。例えば。
Get-WinEvent -ComputerName comp1,comp2 `
-FilterHashtable @{LogName='application';
starttime=([datetime]::today.AddDays(-1));
endtime=([datetime]::Today);
id=1704}
(わかりやすくするために改行を追加)
comp1これにより、コンピューターおよびcomp2昨日からのすべてのイベント#1704が返されます。Get-WinEventその他の検索条件については、のFilterHashtableパラメータ( )のヘルプを参照してくださいget-help get-WinEvent -param FilterHashtable(たとえば、複数のログ名とIDを渡すことができます)。
-MaxEvents出力をイベントの数に制限するパラメーターもあります。
PowerShell や C# でさらに使用できるカスタム XPath クエリを作成して、イベント ログのクエリや監視を行うことができます。
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5) and (EventID=18264) and TimeCreated[timediff(@SystemTime) <= 3600000]]]</Select>
</Query>
</QueryList>