New-EventLog
在本地或远程计算机上创建新的事件日志和新事件源。
语法
New-EventLog
[-LogName] <string>
[-Source] <string[]>
[[-ComputerName] <string[]>]
[-CategoryResourceFile <string>]
[-MessageResourceFile <string>]
[-ParameterResourceFile <string>]
[<CommonParameters>] 说明
此 cmdlet 在本地或远程计算机上创建新的经典事件日志。 它还可以注册写入新日志或现有日志的事件源。
包含 EventLog 名词(事件日志 cmdlet)的 cmdlet 仅适用于经典事件日志。 若要从使用 Windows Vista 和更高版本的 Windows 中的 Windows 事件日志技术的日志中获取事件,请使用 Get-WinEvent。
示例
示例 1 - 创建新的事件日志
此命令在本地计算机上创建 TestLog 事件日志并为其注册新源。
New-EventLog -Source TestApp -LogName TestLog -MessageResourceFile C:\Test\TestApp.dll示例 2 - 向现有日志添加新事件源
此命令将新的事件源 NewTestApp添加到 Server01 远程计算机上的应用程序日志。
$file = "C:\Program Files\TestApps\NewTestApp.dll"
New-EventLog -ComputerName Server01 -Source NewTestApp -LogName Application -MessageResourceFile $file -CategoryResourceFile $file该命令要求 NewTestApp.dll 文件位于 Server01 计算机上。
参数
-CategoryResourceFile
指定包含源事件的类别字符串的文件的路径。 此文件也称为类别消息文件。
该文件必须存在于正在创建事件日志的计算机上。 此参数不创建或移动文件。
| 类型: | String |
| 别名: | CRF |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-ComputerName
在指定的计算机上创建新的事件日志。 默认值为本地计算机。
远程计算机的 NetBIOS 名称、IP 地址或完全限定的域名。 若要指定本地计算机,请键入计算机名称、点(.)或 localhost。
此参数不依赖于 PowerShell 远程处理。 即使计算机未配置为运行远程命令,也可以使用 Get-EventLog 参数。
| 类型: | String[] |
| 别名: | CN |
| Position: | 3 |
| 默认值: | Local computer |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-LogName
指定事件日志的名称。
如果日志不存在,New-EventLog 创建日志,并将此值用于新事件日志的 Log 和 LogDisplayName 属性。 如果日志存在,New-EventLog 注册事件日志的新源。
| 类型: | String |
| 别名: | LN |
| Position: | 1 |
| 默认值: | None |
| 必需: | True |
| 接受管道输入: | False |
| 接受通配符: | False |
-MessageResourceFile
指定包含源事件的消息格式字符串的文件的路径。 此文件也称为事件消息文件。
该文件必须存在于正在创建事件日志的计算机上。 此参数不创建或移动文件。
| 类型: | String |
| 别名: | MRF |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-ParameterResourceFile
指定包含用于事件说明中参数替换的字符串的文件的路径。 此文件也称为参数消息文件。
该文件必须存在于正在创建事件日志的计算机上。 此参数不创建或移动文件。
| 类型: | String |
| 别名: | PRF |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-Source
指定事件日志源的名称,例如写入事件日志的应用程序程序。 此参数是必需的。
| 类型: | String[] |
| 别名: | SRC |
| Position: | 2 |
| 默认值: | None |
| 必需: | True |
| 接受管道输入: | False |
| 接受通配符: | False |
输入
None
不能通过管道将输入传递给此 cmdlet。
输出
备注
若要在 Windows Vista 和更高版本的 Windows 上使用 New-EventLog,请使用 以管理员身份运行 选项打开 PowerShell。
若要在 Windows Vista、Windows XP Professional 或 Windows Server 2003 中创建事件源,你必须是计算机上的 Administrators 组的成员。
创建新的事件日志和新事件源时,系统会为新日志注册新源,但在写入第一个条目之前不会创建日志。
作系统将事件日志存储为文件。
创建新事件日志时,关联的文件存储在指定计算机上的 $Env:SystemRoot\System32\Config 目录中。
文件名是扩展名为 文件扩展名的 .evt 属性的前八个字符。
