New-WinEvent
为指定的事件提供程序创建新的 Windows 事件。
语法
Default (默认值)
New-WinEvent
[-ProviderName] <String>
[-Id] <Int32>
[-Version <Byte>]
[[-Payload] <Object[]>]
[<CommonParameters>]
说明
New-WinEvent cmdlet 为事件提供程序创建 Windows 事件跟踪(ETW)事件。 可以使用此 cmdlet 从 Windows PowerShell 将事件添加到 ETW 通道。
示例
示例 1
PS C:\> New-WinEvent -ProviderName Microsoft-Windows-PowerShell -Id 45090 -Payload @("Workflow", "Running")
此命令使用 New-WinEvent cmdlet 为 Microsoft-Windows-PowerShell 提供程序创建事件 45090。
参数
-Id
指定通过检测清单注册的事件 ID。
参数属性
| 类型: | Int32 |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | 2 |
| 必需: | True |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Payload
指定事件的消息。 将事件写入事件日志时,有效负载存储在事件对象的 Message 属性中。
当指定的有效负载与事件定义中的有效负载不匹配时,Windows PowerShell 会生成警告,但该命令仍然成功。
参数属性
| 类型: | Object[] |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | 3 |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-ProviderName
指定将事件写入事件日志的事件提供程序,例如“Microsoft-Windows-PowerShell”。 ETW 事件提供程序是一个逻辑实体,用于将事件写入 ETW 会话。
参数属性
| 类型: | String |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | 1 |
| 必需: | True |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
-Version
指定事件的版本号。 键入事件编号。 Windows PowerShell 将数字转换为所需的字节类型。
此参数允许在定义相同事件的不同版本时指定事件。
参数属性
| 类型: | Byte |
| 默认值: | None |
| 支持通配符: | False |
| 不显示: | False |
参数集
(All)
| Position: | Named |
| 必需: | False |
| 来自管道的值: | False |
| 来自管道的值(按属性名称): | False |
| 来自剩余参数的值: | False |
CommonParameters
此 cmdlet 支持通用参数:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutBuffer、-OutVariable、-PipelineVariable、-ProgressAction、-Verbose、-WarningAction 和 -WarningVariable。 有关详细信息,请参阅 about_CommonParameters。
输入
None
此 cmdlet 不从管道获取输入。
输出
None
此 cmdlet 用于生成任何输出。
备注
- 提供程序将偶数写入事件日志后,可以使用 Get-WinEvent cmdlet 从事件日志中获取事件。