Türkçesi olay günlüğü ve sağlayıcı/tedarikçi listeleri. Windows işletim sistemlerinde oluşan olayları arka planda kaydeden bir olay günlüğü mekanizması vardır. Vista öncesi sistemlerde standart olarak Sistem (System), Güvenlik (Security) ve Uygulama (Application) gibi olay günlüklerine daha sonra Uygulama ve Hizmet Günlükleri (Application and Service Logs) altındaki diğer günlükler eklendi.
Powershell'in olay günlükleri ile ilgili ilk cmdlet'i Get-EventLog idi. Bu cmdlet, standart olay günlükleriyle çalışmakta yeterliydi. Örneğin bir makinedeki olay günlüklerinin listesini alabilmek için:
> Get-EventLog -List
kullanabiliriz. Vista öncesi sistemlerde olay günlüklerine kayıt düşen bileşenlere kaynak (source) denirdi. Sisteme yeni kurulan bir sürücü, yeni bir yazılım, istediği olay günlüğüne kendi uygun gördüğü kaynak ismiyle kayıt düşerdi. Örnek olarak aşağıdaki olay kaydına bakalım:
Bir hizmetin durumu hakkında bizi bilgilendiren bu olay kaydını Sistem olay günlüğüne yazan kaynağın adı "Service Control Manager". Alışkanlıklar daha sonra biraz değişiti. Vista ile birlikte "Uygulama ve Hizmet Günlükleri"ni okumak için hem Get-Eventlog'dan başka bir cmdlet'e ihtiyaç duyuldu, hem de Kaynak (Source) teriminin yerine Sağlayıcı (Provider) geldi.
Yeni cmdlet Get-WinEvent oldu. Vista sonrası sistemlerde var olan yeni logların listesini alabilmek için de önceki örneğe eşdeğer olarak
> Get-WinEvent -ListLog *
geldi. Bu şekilde hiçbir ölçüt belirtmeden sadece * kullanara sorgularsak çok uzun bir liste ile karşılaşabilriz. Bunun yerine örneğin içinde powershell geçen olay günlükleri için
> Get-WinEvent -ListLog *powershell*
yazabiliriz.
Get-EventLog'da olmayan, ama Get-WinEvent ile gelen -ListProvider parametresi de bir önceki paragrafa konu sağlayıcıların listesini alabilmek için:
> Get-WinEvent -ListProvider *
Bu komut da benzer şekilde uzun bir liste verecek. Onun yerine örneğin içinde içinde sadece Sysmon geçen sağlayıcıları görebilmek için
> Get-WinEvent -ListProvider *sysmon*
yazabiliriz.
Get-Eventlog cmdlet'i için benzer bir -ListProvider parametresi yoktu. Bunun yerine kullanılabilecek yöntem şu olabilirdi:
> Get-WmiObject -Class Win32_NTEventLOgFile | Select-Object FileName, Sources
Bu şekilde her olay günlüğüne kaydedilmiş sağlayıcı (ya da kaynakları) ayrı ayrı görebiliriz.
