- 締切済み
PowerShell と Get-WinEvent
"Get-WinEvent -logname security -FilterXPath"のコマンドを使って、以下の情報を取得しております。 構文(1) "*[System[(EventID=4624 or EventID=4634)] and EventData[Data[@Name='LogonType']='2']]" これは、Windowsイベントログの出力で使っているフィルタの構文になります。 この構文では日時指定が入っていないため、該当するログすべてが出力されます。 そこで、以下のような構文を追加しようとしました。 構文(2) and TimeCreated[@SystemTime>='2014-12-01T00:00:00.000Z' and @SystemTime<='2014-12-31T23:59:59.999Z']]]" ですが、うまくいきません。 連結した個所は、構文1の末尾で言うところの [Data[@Name='LogonType']='2'] (ここに構文(2)を挿入記述) ]" です。 入れ子構造の解釈が間違っているでしょうか?よろしくお願いします。
- kenokabe2
- お礼率66% (4/6)
- Windows系OS
- 回答数2
- ありがとう数8
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- kteds
- ベストアンサー率42% (1876/4424)
No.1の補足です。 -FilterXPathを使う場合はパラメータをXMLのアイテム別の順番に指定してみてください。 順番が適切でないと「構文としては正しいが、イベントが見当たらない」というイベント警告メッセージ(フィルタ結果がゼロ件)が表示されます。 したがって、下記のように指定してみてください。 SystemTime および LogonType は適当に適用してみてください。 Get-WinEvent -logname security -FilterXPath "*[System[TimeCreated[@SystemTime>='2015-01-11T00:00:00.000Z' and @SystemTime<='2015-01-23T00:00:00.000Z'] and (EventID=4624 or EventID=4634)] and EventData[Data[@Name='LogonType']='3'] ]" ---以上です。
- kteds
- ベストアンサー率42% (1876/4424)
> ですが、うまくいきません。 構文(2)自体は適切ですので、 具体的にどのような結果になっているのでしょうか? 追加前と変わらずに該当するログすべてが出力されるのでしょうか、 対象データが何も無い(ゼロ件)なのでしょうか、 それともエラーが表示されるのでしょうか。 「うまくいかない」だけでは読み手側には解りにくいです。
関連するQ&A
- Windows7 Schannelのエラー3688
Windows7(SP1)イベントログにSchannelのエラー ID: 3688が連続的に記録されています。 どのような原因で発生し、何か対応が必要でしょうか。よろしくお願いします。 ログの名前: System ソース: Schannel 日付: 2013/03/30 12:23:30 イベント ID: 36888 タスクのカテゴリ: なし レベル: エラー キーワード: ユーザー: SYSTEM コンピューター: 説明: 次の致命的な警告が生成されました: 10。内部エラーの状態は 10 です。 イベント XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Schannel" Guid="{1F678132-5938-4686-9FDC-C8FF68F15C85}" /> <EventID>36888</EventID> <Version>0</Version> <Level>2</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x8000000000000000</Keywords> <TimeCreated SystemTime="2013-03-30T03:23:30.801106200Z" /> <EventRecordID>104102</EventRecordID> <Correlation /> <Execution ProcessID="644" ThreadID="5440" /> <Channel>System</Channel> <Computer> </Computer> <Security UserID=" " /> </System> <EventData> <Data Name="AlertDesc">10</Data> <Data Name="ErrorState">10</Data> </EventData> </Event>
- 締切済み
- Windows 7
- イベントログに怪しいLOGが・・・
DCP-J982ユーザです。 Windows10をクリーンインストール後にイベントログに怪しいメッセージが出力されるようになりました。 (1) ログの名前: Application ソース: USBAppControl 日付: 2020/04/14 23:15:08 イベント ID: 65535 タスクのカテゴリ: なし レベル: エラー キーワード: クラシック ユーザー: N/A コンピューター: DESKTOP-8OAL2OR 説明: Start Server... イベント XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="USBAppControl" /> <EventID Qualifiers="0">65535</EventID> <Level>2</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2020-04-14T14:15:08.391203500Z" /> <EventRecordID>3017</EventRecordID> <Channel>Application</Channel> <Computer>DESKTOP-8OAL2OR</Computer> <Security /> </System> <EventData> <Data>Start Server...</Data> </EventData> </Event> (2) ログの名前: Application ソース: USBAppControl 日付: 2020/04/14 23:15:08 イベント ID: 65535 タスクのカテゴリ: なし レベル: エラー キーワード: クラシック ユーザー: N/A コンピューター: DESKTOP-8OAL2OR 説明: Wait Workflow Commands request from device. イベント XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="USBAppControl" /> <EventID Qualifiers="0">65535</EventID> <Level>2</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2020-04-14T14:15:08.406829900Z" /> <EventRecordID>3018</EventRecordID> <Channel>Application</Channel> <Computer>DESKTOP-8OAL2OR</Computer> <Security /> </System> <EventData> <Data>Wait Workflow Commands request from device.</Data> </EventData> </Event> (3) ログの名前: Application ソース: WorkflowAppControl 日付: 2020/04/14 23:15:08 イベント ID: 65535 タスクのカテゴリ: なし レベル: エラー キーワード: クラシック ユーザー: N/A コンピューター: DESKTOP-8OAL2OR 説明: 値を Null にすることはできません。 パラメーター名:ipString イベント XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="WorkflowAppControl" /> <EventID Qualifiers="0">65535</EventID> <Level>2</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2020-04-14T14:15:08.422453500Z" /> <EventRecordID>3020</EventRecordID> <Channel>Application</Channel> <Computer>DESKTOP-8OAL2OR</Computer> <Security /> </System> <EventData> <Data>値を Null にすることはできません。 パラメーター名:ipString</Data> </EventData> </Event> いくつかネットで検索したところ、Brotherのdriverが悪さをしているようです。 C:\Program Files (x86)\Brother\iPrint&Scan\USBAppControl.exe C:\Program Files (x86)\Brother\iPrint&Scan\WorkflowAppControl.exe どなたか解決法をご存じありませんか? windows10は、Ver1909 Build 18363.720 です。 ※OKWAVEより補足:「ブラザー製品」についての質問です。
- 締切済み
- プリンター・スキャナー
- Powershell プログラミングについて
サーバ管理をしている中で、日次で前日のイベントログを出力するプログラムを書きました。 初めてPowershellを使用し、ネットを観ながら見よう見まねで書いていたのですが、 ひとつ躓いてしまい・・・教えていただけないでしょうか? ---------------------------------------------------------------------------------- # system、application、securityのログを出力(ErrorとWarningのみ) $type = [string] $event = [system.diagnostics.eventLogEntry] $count = [int] $count = 0 foreach ($type in "system","application","security"){ # ログ取得 $event = get-EventLog -logname $type -after $start_time_yesterday -before $end_time_yesterday | ` Where-Object { $_.EntryType -eq "Warning" -or $_.EntryType -eq "Error" } | ` Where-Object { $_.EventID -ne "1111" -and $_.EventID -ne "5722" -and $_.EventID -ne "5719" }| ` Select-Object EntryType,EventID,TimeGenerated,Source,Message,HostName[$hostname] # テキストファイルに出力 $event >> $fPath ---------------------------------------------------------------------------------- このようなプログラムを書いたところ、 出力結果は以下のようになりました。 ---------------------------------------------------------------------------------- EntryType : Warning EventID : 14 TimeGenerated : 2012/10/10 8:54:05 Source : W32Time Message : タイム ソースとして使うドメイン コントローラを見つけることができません でした。15 分後に再試行します。 HostName[SAKURAI-PC] : ---------------------------------------------------------------------------------- HostName :[SAKURAI-PC] にするにはどのように書いたらよいのでしょうか? ご指導お願いいたします。
- ベストアンサー
- その他(プログラミング・開発)
- DCP-J582N BrLogエラー
DCP-J582Nを無線で利用しています。 イベントログに1分間に2~3回下記のエラーが出ます。 解決方法はありますでしょうか。 (類似の質問があったら申し訳ございません。) Windows 10 proです。 ログの名前: Application ソース: Brother BrLog 日付: 2020/10/08 11:20:13 イベント ID: 1001 タスクのカテゴリ: なし レベル: エラー キーワード: クラシック ユーザー: N/A 説明: MTDLL BrtMTDLL: [2020/10/08 11:20:13.582]: [00011768]: Error GetInkSupplyType Send ( ErrCode == 5 ) イベント XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Brother BrLog" /> <EventID Qualifiers="49152">1001</EventID> <Level>2</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2020-10-08T02:20:13.582380500Z" /> <EventRecordID>56376</EventRecordID> <Channel>Application</Channel> <Security /> </System> <EventData> <Data>MTDLL</Data> <Data>BrtMTDLL: [2020/10/08 11:20:13.582]: [00011768]: Error GetInkSupplyType Send ( ErrCode == 5 ) </Data> </EventData> </Event> ※OKWAVEより補足:「ブラザー製品」についての質問です。
- ベストアンサー
- プリンター・スキャナー
- イベントログについて
※質問用テンプレートを使って質問しています <環境情報> ■製品名【 MFC-J6997CDW 】 ■PSのOS【 Windows7】 (関連あれば) <症状> ■どうなったのか詳しく教えてください 【 接続したパソコンから下記のイベントログが秒単位で出続けています。 - System - Provider [ Name] Brother BrLog - EventID 1001 [ Qualifiers] 49152 Level 2 Task 0 Keywords 0x80000000000000 - TimeCreated [ SystemTime] 2021-06-08T00:06:41.000000000Z EventRecordID 65943587 Channel Application Computer SMI53052.hakuihsp.local Security - EventData STI BrtSTI: [2021/06/08 09:06:41.596]: [00002012]: FindPushAwareAppName:: Invalid Arg 接続した端末のドライバーかアプリケーションと思われますが、具体的にマニュアルなどに 記載していないので、説明に苦慮してます。 なんのエラーでどのような設定で停止するか教えてください。 】 ※OKWAVEより補足:「ブラザー製品」についての質問です。
- 締切済み
- プリンター・スキャナー
- イベント ビューアーでのコントローラー エラー
ログの名前: System ソース: Disk 日付: 2009/12/22 19:36:37 イベント ID: 11 タスクのカテゴリ: なし レベル: エラー キーワード: クラシック ユーザー: N/A コンピューター: nox-PC 説明: ドライバーは \Device\Harddisk6\DR6 でコントローラー エラーを検出しました。 イベント XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Disk" /> <EventID Qualifiers="49156">11</EventID> <Level>2</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2009-12-22T11:36:37.872070300Z" /> <EventRecordID>303727</EventRecordID> <Channel>System</Channel> <Computer>nox-PC</Computer> <Security /> </System> <EventData> <Data>\Device\Harddisk6\DR6</Data> <Binary>0E02680001000000000000000B0004C003010000000000000000000000082D000000000000000000F09A090000000000FFFFFFFF0600000040000000000000000000061208000010000000003C0000000000000000A2C5880000000038B33B89000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000</Binary> </EventData> </Event> こんなんのが出てきましたが、問題のデバイスはどれなのかさっぱりわかりません。 問題箇所を特定する方法を教えてください。 宜しくお願いします。
- 締切済み
- Windows 7
- パソコンのエラー表示
エラー表記の説明をどなたかお願いします。 以前、パソコンを立ち上げようとした所。不良を起こして立ち上がらず。 セーフモードにて異常を調べましたが、私では解読できません。 その記述について解説願いたく。全てではありませんが代表的なものを下に記しております。 また、現在は異常なく動いております。 パソコンの機種:Dell Inspiron1526 OS:vista ログの名前: Broadcom Wireless LAN ソース: WLAN-Tray 日付: 2009/04/15 8:35:07 イベント ID: 0 タスクのカテゴリ: なし レベル: エラー キーワード: クラシック ユーザー: N/A コンピュータ: subtle-PC 説明: 08:35:07, Wed, Apr 15, 09 Error - User "" does not have administrative privileges on this system イベント XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="WLAN-Tray" /> <EventID Qualifiers="0">0</EventID> <Level>2</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2009-04-14T23:35:07.000Z" /> <EventRecordID>1691</EventRecordID> <Channel>Broadcom Wireless LAN</Channel> <Computer>subtle-PC</Computer> <Security /> </System> <EventData> <Data>08:35:07, Wed, Apr 15, 09 Error - User "" does not have administrative privileges on this system </Data> </EventData> </Event> ログの名前: Broadcom Wireless LAN ソース: WLAN-Tray 日付: 2009/04/15 8:35:07 イベント ID: 0 タスクのカテゴリ: なし レベル: エラー キーワード: クラシック ユーザー: N/A コンピュータ: subtle-PC 説明: 08:35:07, Wed, Apr 15, 09 Error - User "" does not have administrative privileges on this system イベント XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="WLAN-Tray" /> <EventID Qualifiers="0">0</EventID> <Level>2</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2009-04-14T23:35:07.000Z" /> <EventRecordID>1689</EventRecordID> <Channel>Broadcom Wireless LAN</Channel> <Computer>subtle-PC</Computer> <Security /> </System> <EventData> <Data>08:35:07, Wed, Apr 15, 09 Error - User "" does not have administrative privileges on this system </Data> </EventData> </Event> ログの名前: Application ソース: Microsoft-Windows-WMI 日付: 2009/04/15 18:39:43 イベント ID: 10 タスクのカテゴリ: なし レベル: エラー キーワード: クラシック ユーザー: N/A コンピュータ: subtle-PC 説明: クエリ "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" のイベント フィルタを名前空間 "//./root/CIMV2" 内で再度使用できませんでした。原因はエラー 0x80041003 です。問題が解決されなければ、このフィルタではイベント表示できません。 イベント XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-WMI" Guid="{1edeee53-0afe-4609-b846-d8c0b2075b1f}" EventSourceName="WinMgmt" /> <EventID Qualifiers="49152">10</EventID> <Version>0</Version> <Level>2</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2009-04-15T09:39:43.000Z" /> <EventRecordID>3751</EventRecordID> <Correlation /> <Execution ProcessID="0" ThreadID="0" /> <Channel>Application</Channel> <Computer>subtle-PC</Computer> <Security /> </System> <EventData> <Data>//./root/CIMV2</Data> <Data>SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99</Data> <Data>0x80041003</Data> </EventData> </Event>
- 締切済み
- ノートPC
- チェックディスクでエラーとなったのですがどうすれば
WINdos7 でチェックディスクで下記エラーとなってしまったのですが どう対応すればいいか教えていやだけませんか? ログの名前: Application ソース: Microsoft-Windows-WMI 日付: 2014/08/25 7:15:30 イベント ID: 10 タスクのカテゴリ: なし レベル: エラー キーワード: クラシック ユーザー: N/A コンピューター: ********-PC 説明: クエリ "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" のイベント フィルターを名前空間 "//./root/CIMV2" 内で再度使用できませんでした。原因はエラー 0x80041003 です。問題が解決されなければ、このフィルターではイベント表示できません。 イベント XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-WMI" Guid="{1edeee53-0afe-4609-b846-d8c0b2075b1f}" EventSourceName="WinMgmt" /> <EventID Qualifiers="49152">10</EventID> <Version>0</Version> <Level>2</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2014-08-24T22:15:30.000000000Z" /> <EventRecordID>12449</EventRecordID> <Correlation /> <Execution ProcessID="0" ThreadID="0" /> <Channel>Application</Channel> <Computer>yakkun_a-PC</Computer> <Security /> </System> <EventData> <Data>//./root/CIMV2</Data> <Data>SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99</Data> <Data>0x80041003</Data> </EventData> </Event> 以上です。 お手数をかける問題と思いますが助けていただけませんか? よろしくお願いします。
- 締切済み
- ドライブ・ストレージ
- フリーズ(クラッシュ)の原因を探っています
フリーズ(クラッシュ)の原因を探っています 現在マウスコンピューターのデスクトップPCを使用しています 機種はEGPI862GB10Pを使用しています 最近になって使用中にいきなりクラッシュして操作が全くできなくなる症状が頻発しています またその際にキーボード・マウス操作は無効となります イベントログを開くとそれらしき重大なエラーとしてログが残っていました 過去に数回強制終了していますが、その履歴を見るとすべて同じ内容のエラーでした 下にエラーの内容を記述しますのでもしこのエラーの原因などがわかるようでしたら教えていただけると幸いです ちなみに、発生頻度ですが 一日中つけていても発生しないこともあれば、2時間程度で同じ症状が発生することもあります 自分の使用している感じだと負荷がかかっている際にクラッシュしやすい傾向が見受けられますが、 全く操作してない時や単純にマウスを動かしている最中にもクラッシュすることもあります よろしくお願いします 以下、イベントログ内の詳細情報 - System - Provider [ Name] Microsoft-Windows-Kernel-Power [ Guid] {331C3B3A-2005-44C2-AC5E-77220C37D6B4} EventID 41 Version 2 Level 1 Task 63 Opcode 0 Keywords 0x8000000000000002 - TimeCreated [ SystemTime] 2010-06-08T01:24:48.688416100Z EventRecordID 11038 Correlation - Execution [ ProcessID] 4 [ ThreadID] 8 Channel System Computer hiromu-PC - Security [ UserID] S-1-5-18 - EventData BugcheckCode 0 BugcheckParameter1 0x0 BugcheckParameter2 0x0 BugcheckParameter3 0x0 BugcheckParameter4 0x0 SleepInProgress false PowerButtonTimestamp 129204337984524089
- ベストアンサー
- デスクトップPC
- 先の質問7345715をした者です
「Excel2010がWin7Proで動作不安定です」 を質問した者です。 自分の質問に追加ができなかったので再度、続きをお願いしますことお許し下さい。 メモリの不良(以前、ハズレメモリで同様の不安定が出たため)を疑っていたのですが、ふと SYSLOGを見るとEXCEL.EXEにエラーが。 以下はその内容なのですが、素人に毛が生えた程度では何の事やらさっぱりでして。 ****************************************************** - System - Provider [ Name] Application Error - EventID 1000 [ Qualifiers] 0 Level 2 Task 100 Keywords 0x80000000000000 - TimeCreated [ SystemTime] 2012-03-06T03:58:20.000000000Z EventRecordID 4506 Channel Application Computer pro03-XXX Security - EventData EXCEL.EXE 14.0.6112.5000 4e9b2bb3 EXCEL.EXE 14.0.6112.5000 4e9b2bb3 c0000005 001697f0 16c4 01ccfb4cf64b3e9d C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE 9c199c03-6740-11e1-b5ec-78acc0aec582 ****************************************************** これ等をヒントに何か思い当たるフシとかありませんでしょうか? 些細な事でも構いません、引き続き皆様のお知恵を拝借できればと。 宜しくお願い申し上げます。
- ベストアンサー
- その他MS Office製品
補足
すみません、補足致します。エラー”Get-WinEvent : 指定されたクエリは無効です。”ということで、書式が間違っていたようです。 Get-WinEvent -logname security -FilterXPath "*[System[(EventID=4624 or EventID=4634)] and ` EventData[Data[@Name='LogonType']='2'] and TimeCreated[@SystemTime>='2014/12/01T00:00:00.000Z' and ` @SystemTime<='2014-12-31T23:59:59.999Z']]" 上記コマンドでこのエラーは解消しました。 今度は別のエラーになりまして、”Get-WinEvent : 指定した選択条件に一致するイベントが見つかりませんでした。”に変わったので、記述している式そのものが意図するものとは違うようです。 TimeCreatedの左辺にある and を or に変更すると、時間指定以外の条件に沿ったデータが出力されました。 ただ、意図は 2014年12月分のデータだけに絞り込むことなので、andで良いはずなのですが。