Post

Deep Dive Exploring Event Viewer with "PowerShell"

Posted Updated
By
2 min read
Deep Dive Exploring Event Viewer with "PowerShell"
#To list Windows event log types
Get-WinEvent –ListLog *
Get-EventLog -List


#Show only security events in list format: (Application, System, Security etc.)
Get-WinEvent -LogName Security | Format-List

#Get Log (GridView) fetch by id:
Get-EventLog -LogName "Security" -InstanceId 4738 | Out-GridView

#Show (Specific) Event ID in security events list:
Get-WinEvent -LogName Security | Where-Object { $_.Id -eq 4738 } | Format-List

#Get-WinEvent data in HTML (Table) format Export:
Get-WinEvent -LogName Security | Where-Object { $_.Id -eq 4672 } | ConvertTo-Html -As Table -Property * | Out-File C:\Report.html

#Get-WinEvent data in HTML (List) format Export:
Get-WinEvent -LogName Security | Where-Object { $_.Id -eq 4672 } | ConvertTo-Html -As List -Property * | Out-File C:\Report.html

#The path where the system event logs are stored
C:\Windows\System32\winevt\
C:\Windows\System32\winevt\Logs

Event Viewer'in Sınırı Nedir ?

Maksimum Kaynak Boyutudur (Maximum Size): Olay günlüğünün toplam boyutunu belirler. Bu boyut genellikle kilobayt (KB) veya megabayt (MB) cinsinden ifade edilir. Eğer bir olay günlüğü bu boyutu aşarsa, eski kayıtların silinmesi veya başka bir aksiyon alınması gerekebilir.

"Maksimum log size (KB)" ifadesi olay günlüğünün ne kadar yer kaplayabileceğini belirleyen bir parametredir. Bu parametre, olay günlüğünün Max kaç kilobayt (KB) boyutunda olabileceğini belirler. Örneğin, bir sistem veya uygulama için "Maksimum Log Size (KB)" değeri 1024 KB olarak ayarlanmışsa, olay günlüğü 1 megabayt (MB) boyutuna ulaşana kadar veri kaydetmeye devam eder.

***Eğer bu boyut sınırına ulaşılırsa, aşağıda belirtilen günlük yönetim seçeneklerinden biri uygulanacaktır.

  • Gerektiğinde olayların üzerine yaz (öncelikle eskiler): Bu seçenek, olay günlüğünün maksimum boyutuna ulaştığında, olayları üzerine yazmayı ifade eder. Yani günlüğün boyut sınırına ulaşıldığında, yeni olaylar eski olayların üzerine yazılarak kaydedilir. Bu, olay günlüğünün sürekli güncel olmasını sağlar, ancak eski olayların kalıcı olarak silinmesine neden olabilir.
  • Günlük dolduğunda arşivle, olayları üzerine yazma: Bu seçenek, olay günlüğünün maksimum boyutuna ulaştığında verilerin başka bir günlüğe taşınmasını içerir. Eski veriler, başka bir günlük dosyasına taşınarak korunur ve orijinal günlük temizlenir. Bu seçenek, eski olayların korunmasına ve günlüğün temizlenmesine olanak tanır.
  • Olayları üzerine yazma (günlüğü manuel temizle): Bu seçenek, olay günlüğünün dolduğunda herhangi bir taşma eylemi uygulanmamasını ifade eder. Bu, yeni veri yazmayı durdurmaz veya verileri taşımaz. Günlük maksimum boyutuna ulaştığında yeni olaylar kaydedilmez. Eğer bu seçenek seçilirse, olay günlüğü manuel olarak temizlenmelidir.

Saygılarımla – Best Regards

Windows Server
This post is licensed under CC BY 4.0 by the author.