none
Problemas para crear logs de eventos RRS feed

  • Pregunta

  • Buenas tardes! Tengo que hacer un script que realice un log de todos procesos que inician y terminan. Tomé un ejemplo de un articulo en Technet, pero cuando lo pruebo, no está generando el log. De hecho, incluso puse un Write-Host al comienzo del bloque action, pero aparentemente nunca ingresa al bloque.

    Aquí dejo el código, si alguien pudiera darme una solución, estaría agradecida. El primer ejemplo es el original, el segundo tiene unos cambios mínimos, pero sigue sin funcionar.

    V1)

    Register-WMIEvent -query "Select * From __InstanceCreationEvent within 3 Where TargetInstance ISA 'Win32_Process'" -MessageData $pso -sourceIdentifier "NewProcess" -action {
    $data = "{0}  -  {1}  -  INICIO" -f $Event.TimeGenerated, $event.SourceEventArgs.NewEvent.TargetInstance.Name
    Add-Content -Path $event.MessageData.path -Value $data
    }
    
    Register-WMIEvent -query "Select * From __InstanceDeletionEvent within 3 Where TargetInstance ISA 'Win32_Process'" -MessageData $pso -sourceIdentifier "EndProcess" -action {
    $data = "{0}  -  {1}  -  FINALIZACION" -f $Event.TimeGenerated, $event.SourceEventArgs.NewEvent.TargetInstance.Name
    Add-Content -Path $event.MessageData.path -Value $data
    }
    V2)

    Register-WMIEvent -query "Select * From __InstanceCreationEvent within 3 Where TargetInstance ISA 'Win32_Process'" -MessageData $pso -sourceIdentifier "NewProcess" -action { $data = "{0} - {1} - INICIO" -f $Event.TimeGenerated, $event.SourceEventArgs.NewEvent.TargetInstance.Name Add-Content -Path $pathLog -Value $data -Force

    } Register-WMIEvent -query "Select * From __InstanceDeletionEvent within 3 Where TargetInstance ISA 'Win32_Process'" -MessageData $pso -sourceIdentifier "EndProcess" -action { $data = "{0} - {1} - FINALIZACION" -f $Event.TimeGenerated, $event.SourceEventArgs.NewEvent.TargetInstance.Name Add-Content -Path $pathLog -Value $data

    }


    martes, 14 de junio de 2016 16:46