New-Event Log
Создает новый журнал событий и новый источник событий на локальном или удаленном компьютере.
Синтаксис
New-EventLog [-LogName] [-Source] [[-ComputerName] ] [-CategoryResourceFile ] [-MessageResourceFile ] [-ParameterResourceFile ] [] Описание
Этот командлет создает классический журнал событий на локальном или удаленном компьютере. С его помощью можно также зарегистрировать источник событий, записывающий данные в новый или существующий журнал.
Командлеты, содержащие EventLog существительное (командлеты журнала событий), работают только с классическими журналами событий. Чтобы получить события из журналов, использующих технологию журнала событий Windows в Windows Vista и более поздних версиях Windows, используйте . Get-WinEvent
Примеры
Пример 1. Создание журнала событий
Эта команда создает TestLog журнал событий на локальном компьютере и регистрирует для него новый источник.
New-EventLog -source TestApp -LogName TestLog -MessageResourceFile C:\Test\TestApp.dllПример 2. Добавление нового источника событий в существующий журнал
Эта команда добавляет новый источник NewTestApp событий в журнал приложений на удаленном компьютере Server01.
$file = "C:\Program Files\TestApps\NewTestApp.dll" New-EventLog -ComputerName Server01 -Source NewTestApp -LogName Application -MessageResourceFile $file -CategoryResourceFile $fileКоманда требует, чтобы NewTestApp.dll файл находился на компьютере Server01.
Параметры
-CategoryResourceFile
Указывает путь к файлу, содержащему строки категорий для исходных событий. Этот файл также известен как файл сообщений о категориях.
Он должен находиться на компьютере, на котором создается журнал событий. Этот параметр не создает и не перемещает файлы.
| Type: | String |
| Aliases: | CRF |
| Position: | Named |
| Default value: | None |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-ComputerName
Создает журналы событий на указанных компьютерах. По умолчанию это локальный компьютер.
NetBIOS-имя, IP-адрес или полное доменное имя удаленного компьютера. Чтобы указать локальный компьютер, введите имя компьютера, точку ( . ) или localhost .
Этот параметр не зависит от удаленного взаимодействия PowerShell. Параметр ComputerName Get-EventLog можно использовать, даже если компьютер не настроен для выполнения удаленных команд.
| Type: | String [ ] |
| Aliases: | CN |
| Position: | 3 |
| Default value: | Local computer |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-LogName
Указывает имя журнала событий.
Если журнал не существует, New-EventLog создает журнал и использует это значение для свойств Log и LogDisplayName нового журнала событий. Если журнал существует, New-EventLog регистрирует новый источник для журнала событий.
| Type: | String |
| Aliases: | LN |
| Position: | 1 |
| Default value: | None |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-MessageResourceFile
Указывает путь к файлу, содержащему строки форматирования сообщений для исходных событий. Этот файл также известен как файл сообщений о событиях.
Он должен находиться на компьютере, на котором создается журнал событий. Этот параметр не создает и не перемещает файлы.
| Type: | String |
| Aliases: | MRF |
| Position: | Named |
| Default value: | None |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-ParameterResourceFile
Указывает путь к файлу, который содержит строки, используемые для подстановки параметров в описаниях событий. Этот файл также известен как файл сообщений о параметрах.
Он должен находиться на компьютере, на котором создается журнал событий. Этот параметр не создает и не перемещает файлы.
| Type: | String |
| Aliases: | PRF |
| Position: | Named |
| Default value: | None |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Source
Указывает имена источников журнала событий, например программ, записывающих данные в журнал событий. Это обязательный параметр.
| Type: | String [ ] |
| Aliases: | SRC |
| Position: | 2 |
| Default value: | None |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Входные данные
None
В этот командлет нельзя передать входные данные.
Выходные данные
Примечания
Чтобы использовать New-EventLog в Windows Vista и более поздних версиях Windows, откройте PowerShell с параметром Запуск от имени администратора .
Для создания источника событий в Windows Vista, Windows XP Professional или Windows Server 2003 необходимо быть членом группы «Администраторы» на компьютере.
При создании журнала событий и источника событий система регистрирует источник для нового журнала, но журнал не создается, пока в него не будет внесена первая запись.
Журналы событий сохраняются операционной системой как файлы.
При создании журнала событий связанный файл сохраняется в каталоге $env:SystemRoot\System32\Config на указанном компьютере.
Имя файла — это первые восемь символов свойства Log с расширением .evt имени файла.
Связанные ссылки
- Clear-EventLog
- Get-EventLog
- Get-WinEvent
- Limit-EventLog
- New-EventLog
- Remove-EventLog
- Show-EventLog
- Write-EventLog
Настройка размера и параметров журнала событий Windows
25.11.2022
itpro
PowerShell, Windows 10, Windows Server 2019, Групповые политики
Комментариев пока нет
В журналах событий Windows хранится полезная информация, которая нужна при анализе состояния служб и приложений в Windows, отладки ошибок и аварийный ситуаций, аудите различных событий безопасности. По умолчанию для журналов Event Viewer в Windows заданы максимальные размеры, при достижении которых новые события начинают перезаписывать более старые. Если на вход Event Viewer попадает слишком большое количество событий, может случится, что в журнал помещаются события лишь за последние несколько часов, что может быть не достаточно.
Чтобы предотвратить перезапись старых событий и всегда иметь под рукой события за достаточно большой промежуток времени, вы можете увеличить максимальный размер журналов Event Viewer.
Получить информацию о журналах событий Windows с помощью PowerShell
Файлы журналы событий Windows хранятся в каталог %SystemRoot%\System32\Winevt\Logs\ в виде файлов с расширением .EVTX. Обратите внимание, что для каждого журнала используется собственный файл. Соответственно, вы можете управлять размерами только того лога Windows, который вам нужен и оставить остальные значения по-умолчанию.
Текущие лимиты на все включенные журналы событий в Windows можно вывести с помощью PowerShell:
Вы можно вывести размер определенного лога с помощью командлета Get-WinEvent. Например, получим текущий и максимальный размер журнала Security:
Get-WinEvent -ListLog Security| Select MaximumSizeInBytes, FileSize, IsLogFull, OldestRecordNumber, IsEnabled, LogMode
Суммарный размер паки с файлами журналов событий можно получить с помощью PowerShell:
« MB» -f ((gci c:\windows\System32\Winevt\Logs\| measure Length -s).sum / 1Mb)
Чтобы увеличить максимальный размер лога, можно использовать утилиту wevtutul (новый размер задается в Кб):
wevtutil sl «Application» /ms:200000
Или с помощью PowerShell:
Limit-Eventlog -Logname Application -MaximumSize 200MB -OverflowAction OverwriteOlder
Изменить размер журнала событий из консоли Event Viewer
Проще всего увеличить максимальный размер журнала прямо из консоли Event Viewer.
- Откройте eventvwr.msc ;
- Найдите в консоли свойства нужного журнала и откройте его свойства (например, Security);
- Задайте ограничение в разделе Maximum log size (KB) и сохраните изменения;
- Здесь же можно изменить поведение при достижение максимального размера:
Owerwrite events as needed (oldest events first) – этот режим исопльзуется по умолчанию. Новые события просто перезаписывают более старые.
Archive the log when full, do not owerwrite events – текущий журнал событий при заполнении архивируется в папке \System32\Winevt\Logs\ и новые события записываются в новый evtx файл. Архивные файлы событий можно открыть через меню Open Saved Log в Event Viewer.
Do not owerwrite events (Clear log manually) – события никогда не перезатираются. Для записи новых событий нужно очистить журнал.
Увеличить размер журнала событий Windows через GPO
Чтобы централизованно управлять размерами журналов событий на компьютерах или серверах в домене Active Directory, можно использовать групповые политики.
-
Запустите консоль Group Policy Management ( gpmc.msc ), создайте новую GPO и назначьте на OU с компьютерами или серверами, для которых вы хотите изменить настройки Event Viewer (или назначьте GPO на корень домена);
Application Security Setup System
Event ViewerThe Maximum Log Size specified is not valid. It is too large or too small. The Maximum Log Size will be set to the following: 61440 KB
Увеличение размера журнала Security на контроллерах домена Active Directory позволит вам:
- Хранить историю входов пользователе в домен или выполнить аудит входов на конкретный хост Windows
- Найти источник блокировки учетных записей пользователей в AD
- Найти кто создал пользователя, сбросил его пароль или изменил состав группы безопасности.
Обратите внимание, что в описанном выше разделе GPO отсутствуют настройки для других журналов из раздела Applications and Services Logs -> Microsoft.Если вам нужно увеличить размер любого другого журнала событий (кроме стандартного), это можно сделать через реестр. Настройки журналов событий Windows хранятся в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\. Размер журнала задается с помощью параметра MaxSize (тип REG_DWORD). Вы можете распространить нужное вам значение параметра реестра MaxSize на компьютеры домена с помощью Group Policy Preferences.
Подробнее о настройке ключей и параметров реестра через GPO здесь.
В этом примере мы увеличим размер журнала Directory Service на контроллерах домена. Настройки этого лога хранятся в ветке HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Directory Service.
- Откройте GPO и перейдите в раздел Computer Configuration ->Preferences ->Windows Settings ->Registry;
- Выберите New ->Registry Item;
- Создайте новый параметр со следующими настройками:
Hive: HKEY_LOCAL_MACHINE Key path: SYSTEM\CurrentControlSet\Services\EventLog\Directory Service Value name: MaxSize Value type: REG_DWORD Value data: 52428800 (значение задается в байтах. В нашем примере это 50 Мб)
Например, если вам нужно хранить историю RDP подключений к RDS хосту за продолжительное время, нужно увеличить размер лога Terminal-Services-RemoteConnectionManager.
За счет увеличения размеров журналов событий Windows вы можете получить различную информацию за более длительный промежуток времени. Например, из журналов событий можно получить историю перезагрузок Windows, понять кто удалил файл в сетевой папке или кто изменил NTFS права доступа.
Предыдущая статья Следующая статья 
Использование Блокнот для создания файла журнала
Microsoft Блокнот — это средство обработки слов, которое входит в состав Windows. С его помощью можно создать файл типа журнала, в который при каждом его Блокнот добавляется текущая дата и время. Вот как можно создать файл журнала в Блокнот.
- Выберите Начните, Блокноти выберите его в результатах.
- Тип. Log (Журнал) в первой строке, а затем нажмите ввод, чтобы перейти к следующей строке.
- В меню Файл выберите пункт Сохранить как, введите описательное имя файла в поле Имя файла и нажмите кнопку ОК. При следующем открыть файл обратите внимание на то, что дата и время были добавлены в конец журнала непосредственно перед местом, куда можно добавить новый текст. С помощью этой функции можно автоматически добавлять текущие дату и время к каждой записи журнала.
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.
При подготовке материала использовались источники:
https://learn.microsoft.com/ru-ru/powershell/module/microsoft.powershell.management/new-eventlog?view=powershell-5.1
https://winitpro.ru/index.php/2022/11/23/max-razmer-event-log-windows/
https://support.microsoft.com/ru-ru/topic/%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-%D0%B1%D0%BB%D0%BE%D0%BA%D0%BD%D0%BE%D1%82-%D0%B4%D0%BB%D1%8F-%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D0%BD%D0%B8%D1%8F-%D1%84%D0%B0%D0%B9%D0%BB%D0%B0-%D0%B6%D1%83%D1%80%D0%BD%D0%B0%D0%BB%D0%B0-dd228763-76de-a7a7-952b-d5ae203c4e12