Discussion :

[ff4pierre]

Bonjour,

Je suis actuellement à la recherche d'un script afin de remonter d'écrire des events logs.

En gros je cherche quelque chose du genre si mon get-event trouve des logs de niveau 3 alors j'écris un event log dans application :

if (Get-WinEvent -FilterHashTable @{LogName ="Microsoft-Windows-Hyper-V*"; StartTime = (Get-Date).AddDays(-1); Level = 3})
else New-EventLog –LogName Application –Source “My Script” ; Write-EventLog –LogName Application –Source “My Script” –EntryType Information –EventID 1
–Message “This is a test message.”

Je ne sais pas si je suis très clair :/

Merci par avance.

[aepli]

Bonjour,

Non, ce n'est pas très clair.
Mais peut-être que du côté du module Log4Posh, tu pourrais trouver ta réponse.

Le module est présent sur GitHub: https://github.com/LaurentDardenne/Log4Posh
Et il y a une explication comment l'installer depuis myget.org.

Salutations.

[ff4pierre]

En gros je dispose d'un outils de supervision qui me remonte des alertes quand des événements sont inscrit dans "journaux windows".
Ce qui m’intéresses se trouve dans "journaux des applications et des services".

C'est pourquoi je cherche un script qui quand un événement est créé dans "journaux des applications et des services" il écrive un évènement dans "journaux windows".

Je vais regarder Log4Posh merci

[aepli]

Bonjour,

Oups, poteau, Log4Posh est un "wrapper" du framework Log4Net et permet d'écrire des traces (ou logs).

Pour surveiller des événements, je vois deux possibilités.

Soit tu interroges périodiquement les événements Windows avec la commande Get-EventLog et le paramètre -Newest qui permet de récupérer les nouveaux événements.

Soit tu utilises la Class .Net EventLogWatcher, tu trouveras un exemple d'implémentation avec un module PowerShell: PowerShell EventLogWatcher Module

Salutations.

[6ratgus]

salut ff4pierre

if (Get-WinEvent -FilterHashTable @{LogName ="Microsoft-Windows-Hyper-V*"; StartTime = (Get-Date).AddDays(-1); Level = 3})
else New-EventLog –LogName Application –Source “My Script” ; Write-EventLog –LogName Application –Source “My Script” –EntryType Information –EventID 1
–Message “This is a test message.”

Je ne sais pas si je suis très clair :/

si je comprend bien tu veux que quand tu trouve un évènement de niveau 3 dans un des 10 journaux hyper-V de windows dans les dernières 24 heures, tu écrive un évènement dans le journal application de windows !

déjà correction de ton code avec les bons parametres :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
New-EventLog -Source "My Script" -LogName "Application" -MessageResourceFile "C:\Test\TestApp.dll"
if (Get-WinEvent -FilterHashTable @{ProviderName ="Microsoft-Windows-Hyper-V*"; StartTime = (Get-Date).AddDays(-1); Level = 3}) {
    Write-EventLog –LogName Application –Source “My Script” –Message “This is a test message.” –EventID 1 -EntryType Information
    }

il faut créé une source pour les log avec le new-eventlog en élévation admin, a faire qu'une fois
puis tu écris avec write-eventlog (l'elevation n'est pas utile ici)

si tu doit vérifier en temps reel les évènements, recherche des sujets sur Register-WmiEvent ou regarde le sujet de apeli sur eventlogwatcher pour réagir au moment de l'écriture dans le journal

[ff4pierre]

Rebonjour,

Bon désolé de répondre si tardivement et merci pour ton retour !

J'ai deux trois questions. La 1er, à quoi correspond la dll que l'on créé une fois : "C:\Test\TestApp.dll" ?

Deuxièmement, lors de l’exécution du script j'ai un message d'erreur dans powershell m’indiquant : get-winevent : impossible de récupérer des informations sur le fournisseur Microsoft-Windos-Hyper-V-VMMS. Canal spécifié introuvable.

[6ratgus]

salut ff4pierre

La 1er, à quoi correspond la dll que l'on créé une fois : "C:\Test\TestApp.dll" ?

ce qui faut comprendre c'est que les cmdlets PowerShell "New-EventLog et write-eventlog" simule une erreur dans le journal même si dans ton script elle est vrais !!
donc les paramètres donner a "New-EventLog" sont fictif, ils permettes de créé une source "l'application à l'origine de l'erreur" mais qui est généré par write-eventlog
"TestApp.dll" est donc un fichier dll imaginaire dans cette exemple mais peut être le nom d'un fichier script !

Deuxièmement, lors de l’exécution du script j'ai un message d'erreur dans powershell m’indiquant : get-winevent : impossible de récupérer des informations sur le fournisseur Microsoft-Windos-Hyper-V-VMMS. Canal spécifié introuvable.

"Microsoft-Windows-Hyper-V-VMMS" est un des journaux de Windows pour hyper-v. Il est possible que ton problème soit un problème de droit, sans doute une élévation admin
il te suffit d'aller dans les "journaux des applications et des services" pour voir si le journal est la !

[ff4pierre]

Voici l'erreur à l’exécution du script via Powershell ISE en tant qu'admin.
Le dossier existe bien dans l'observateur d'évènement.

[6ratgus]

la première erreur est normale. comme expliquer précédemment le New-EventLog doit être exécuter qu'une seule fois !!!

la deuxième erreur viens de la propriété ProviderName dans le filtre de Get-WinEvent.
le filtre demande de listé les fournisseurs le journal d'évènement
mais "Microsoft-Windows-Hyper-V-VMMS" comme d'autre fournisseurs contient plusieurs journaux de log, voir le résultat de cette commande : Get-WinEvent -Listlog "Microsoft-Windows-Hyper-V-VMMS*" | ft
il faut donc modifier le filtre pour demander la liste des journaux et non des provider comme je l'avais fait dans mon précèdent script !!

Code powershell :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
if (Get-WinEvent -FilterHashTable @{LogName ="Microsoft-Windows-Hyper-V*"; StartTime = (Get-Date).AddDays(-1); Level = 3}) {
    Write-EventLog –LogName Application –Source “My Script” –Message “This is a test message.” –EventID 1 -EntryType Information
    }

la troisième est clair et normale : Aucun événement correspondant aux critères de sélection spécifiés n'a été trouvé
dans ton cas, il n'y a pas d'évènement de niveau 3 depuis 24h