主页 / server / 问题 / 566945
Accepted
Joshua Nurczyk
Asked: 2014-01-14 08:35:47 +0800 CST

如何获取应用程序事件日志的应用程序

  • 772

我有一些服务器通常出现错误 1000。我想找出它是否始终是同一个应用程序,或者它是否是不同的应用程序。我正在使用这个:

Get-EventLog application 1000 -entrytype error -newest 10 | select timegenerated,message | Export-Csv errors.csv

并且输出显示应用程序名称(特别是 exe 文件)作为多行消息字段的一部分。

我无法弄清楚如何从输出中仅提取应用程序名称。

将输出传递给 Get-Member 使得消息字段看起来像是一个数组,但我现在无法弄清楚如何提取数组的那一部分。

Get-EventLog application 1000 -entrytype error -newest 10 | %{$_.machinename,$_.timegenerated,$_.ReplacementStrings[0]}

这给了我想要的输出,除了它是通过三行生成的,并且 Export-CSV 不想正确解析它。我怎样才能将它们全部放在一条线上?

powershell

1 个回答

  1. Best Answer

    它可能不会对所有事件类型都准确,但该属性ReplacementStrings是一个数组,其中第一个元素是查看 InstanceID 1000 时可执行文件的名称:

    > Get-EventLog application 1000 -entrytype error -newest 10 | %{$_.ReplacementStrings[0]}
Ssms.exe
Ssms.exe
Ssms.exe
uniStudio.exe
SwyxIt!.exe
Ssms.exe
uniRTE.exe
uniStudio.exe
Ssms.exe
Ssms.exe

    我的 PS-foo 在早上的这个时候很弱,但我确信有一种方法可以将它与您的select命令结合起来,从而将它们导出到您的 CSV 中。

    根据您的更新;这将为您提供表格格式所需的输出。我不知道它会玩得多好export-csv

    Get-EventLog application 1000 -entrytype error -newest 10|Format-Table @{Expression={$_.machinename};Label="Machine Name";width=25},@{Expression={$_.timegenerated.DateTime};Label="DateTime";width=25},@{Expression={$_.ReplacementStrings[0]};Label="EXEName";width=25}

    没关系; 我在上次更新中太复杂了。这应该可以正常工作(我知道当天晚些时候我会更好):

    > Get-EventLog application 1000 -entrytype error -newest 10|Select-Object  timegenerated,message,@{name='Executable';expression={$_.ReplacementStrings[0]}}|Export-CSV errors.csv


TimeGenerated                           Message                                 Executable
-------------                           -------                                 ----------
14/01/2014 7:23:13 AM                   Faulting application name: Ssms.exe,... Ssms.exe
13/01/2014 7:26:44 AM                   Faulting application name: Ssms.exe,... Ssms.exe
10/01/2014 7:30:24 AM                   Faulting application name: Ssms.exe,... Ssms.exe
8/01/2014 5:25:13 PM                    The description for Event ID '1000' ... uniStudio.exe
31/12/2013 3:09:58 PM                   The description for Event ID '1000' ... SwyxIt!.exe
19/12/2013 7:35:21 AM                   Faulting application name: Ssms.exe,... Ssms.exe
18/12/2013 2:55:45 PM                   Faulting application name: uniRTE.ex... uniRTE.exe
18/12/2013 9:25:49 AM                   The description for Event ID '1000' ... uniStudio.exe
18/12/2013 7:32:29 AM                   Faulting application name: Ssms.exe,... Ssms.exe
16/12/2013 1:22:38 PM                   Faulting application name: Ssms.exe,... Ssms.exe
    • 3

相关问题