【问题标题】：How can I read analytical Windows events from 'Applications and Services Logs' using PowerShell?如何使用 PowerShell 从“应用程序和服务日志”中读取分析 Windows 事件？
【发布时间】：2021-03-08 14:55:15
【问题描述】：

我使用Get-EventLog 来读取事件。例如，使用此 cmdlet，我可以成功读取 System 和 Security 事件日志。我还可以通过发出以下命令列出所有可用日志：

Get-EventLog -LogName * | Select-Object -Property Log

输出：

Log
---
Application
HardwareEvents
Internet Explorer
Key Management Service
OAlerts
Parameters
Security
State
System
Windows PowerShell

但此列表不包含您可以在应用程序和服务日志下找到的所有日志，例如。 g.: 我想从这个路径中读取事件，这些事件可以在 Event Viewer 中遍历：

Applications and Services Logs > Microsoft > Windows > DNS-Server > Analytical

我在 Windows DNS 服务器上执行此操作，并在 View 下启用了 Show Analytic and Debug Logs 以及配置和启用的 Analytical DNS 服务器的日志。

【问题讨论】：

标签： powershell event-log

【解决方案1】：

Tl;博士：

改用Get-WinEvent 并添加-Oldest 参数：

Get-WinEvent -LogName Microsoft-Windows-DNSServer/Analytical -Oldest

Get-EventLog 是用于读取 Windows 事件日志的旧 cmdlet，它不能用于读取所有可用的事件日志（在此 cmdlet 的文档中查找注释）：

Get-EventLog 使用已弃用的 Win32 API。结果可能不准确。请改用Get-WinEvent cmdlet。

使用Get-WinEvent，您可以使用Get-WinEvent -ListLog * 列出所有可用日志，或者您可以过滤所有与DNS 相关的日志：

Get-WinEvent -ListLog *DNS* | Select-Object -Property LogName

输出：

LogName
-------
DNS Server
Microsoft-Windows-DNS-Client/Operational
Microsoft-Windows-DNSServer/Audit

添加-Force 参数也可以查看调试和分析事件：

LogName
-------
DNS Server
Microsoft-Windows-DNS-Client/Operational
Microsoft-Windows-DNSServer/Analytical
Microsoft-Windows-DNSServer/Audit

您可以通过将这些名称传递给-LogName 参数来读取事件：

Get-WinEvent -LogName Microsoft-Windows-DNSServer/Audit

尝试读取Microsoft-Windows-DNSServer/Analytical 日志时会出错：

Get-WinEvent : The Microsoft-Windows-DNSServer/Analytical event log can be read only in the forward chronological order because it is an analytical or a debug log. To see events from the Microsoft-Windows-DNSServer/Analytical event log, use the Oldest parameter in the command.

所以只需添加-Oldest 就可以了：

Get-WinEvent -LogName Microsoft-Windows-DNSServer/Analytical -Oldest

【讨论】：