Per completare gli esercizi pratici compresi all’interno di questo libro, discuteremo ora brevemente del registro degli eventi di Windows.
Windows PowerShell consente l’accesso al registro degli eventi utilizzando diversi metodi: all’interno di WMI, .NET e COM, infatti, sono presenti alcuni oggetti utili a questo scopo ma anche Windows PowerShell stesso mette a disposizione alcuni cmdlet in grado di aiutarci in questo compito. Il più importante di questi è Get-EventLog.
Il comando Get-EventLog –List visualizza tutti i registri degli eventi presenti nel sistema. Per accedere ad uno specifico registro possiamo utilizzare il cmdlet Where-Object. Potete dunque accedere al registro degli eventi di sistema (System) come segue:
Get-EventLog -List |
Where-Object {$_.LogDisplayName -eq "System"}
Tuttavia, deve esserci un modo più semplice per farlo, altrimenti questa linea di codice sarebbe troppo lunga per essere utilizzata quotidianamente. Ed effettivamente, se volete recuperare le righe da uno specifico registro degli eventi, potete richiamare semplicemente Get-EventLog, aggiungendovi il nome del registro degli eventi desiderato. I risultati possono a volte essere molto lunghi e, per annullare l’operazione, potete premere CTRL+C in qualsiasi momento. Se volete visualizzare solo le 20 righe più recenti del registro utilizzate il parametro –Newest 20. Naturalmente potete sostituire il 20 con un numero qualsiasi.
Get-EventLog System -Newest 3
Get-EventLog System -Newest 3 | Format-List
Per ulteriori informazioni sul comando Get-EventLog è possibile consultare la guida di riferimento, a
questo indirizzo.
Le righe recuperate dal registro degli eventi sono disponibili per l’elaborazione, come qualsiasi altro oggetto all’interno di Windows PowerShell e possono essere di conseguenza ordinate e raggruppate.
E1: Ricercate il nome del registro degli eventi di Windows PowerShell. Raggruppate gli eventi recuperati per identificativo (Event ID), poi ordinateli per nome. Poi recuperate solo gli eventi con identificativo pari a 403. Suggerimento: se il registro degli eventi contiene uno spazio allora specificatene il nome utilizzando i doppi apici.
E2: Ordinate i 15 eventi più recenti del registro degli eventi di sistema in ordine decrescente per identificativo (Event ID). Suggerimento: rileggete questo libro un’altra volta se non siete in grado di trovare una soluzione immediata.