强大的日志管理

    (3).强大的日志管理

    PowerShell在日志管理方面非常强大，它可以访问所有的系统日志并更加用户需要进行排序或者筛选。比如PowerShell中执行“Get-EventLog security | more”会分屏显示但其系统的安全日志。执行“执行“Get-EventLog system -newest 50”返回最新50条系统日志。（图7）

图7

    下面列举一个稍微复杂一点的例子，比如从结果中搜索匹配事件ID为“1101”的事件日志可分别执行下面两条语句即可。\$e = get-eventlog -newest 500 -logname application\$e | where-object {\$_.EventID -match "1101"}（图8）

图8

    PowerShell比较有趣的一点，它不仅能够访问本地日志而且也能够访问和操作远程服务器中的日志。执行下列语句：
(new-object system.diagnostics.eventlog ("security","JP-pc")).entries | select-last 10会返回JP-PC的主机上的最新的10条安全日志。（图9）

图9

    如果要清除JP-PC远程主机上的所有安全日志可执行：(new-object system.diagnostics.eventlog("security","JP-pc")).clear()，再次执行(new-object system.diagnostics.eventlog ("security","JP-pc")).entries查看JP-PC上的所有安全日志都被删除。（图10）

图10

    总结：通过对PowerShell的初步认识，以及用其进行Windows 7系统管理的初步体验，可以看到PowerShell还是比较容易上手的，在功能上要比CMD强大得多。此外，PowerShell在脚本编写方面也更加灵活。虽然PowerShell完全取代CMD还需要时间，但用户掌握PowerShell无疑会极大地提升系统管理效率。