这些是针对 Microsoft-Windows-PowerShell/Operational 和 Windows PowerShell 日志的模块的特定事件字段。
-
powershell.id -
Shell ID。
类型:keyword
示例:Microsoft Powershell
-
powershell.pipeline_id -
管道 ID。
类型:keyword
示例:1
-
powershell.runspace_id -
Runspace ID。
类型:keyword
示例:4fa9074d-45ab-4e53-9195-e91981ac2bbb
-
powershell.sequence -
PowerShell 执行的序列号。
类型:long
示例:1
-
powershell.total -
序列中消息的总数。
类型:long
示例:10
与执行的命令相关的数据。
-
powershell.command.path -
执行命令的路径。
类型:keyword
示例:C:\Windows\system32\cmd.exe
-
powershell.command.name -
执行命令的名称。
类型:keyword
示例:cmd.exe
-
powershell.command.type -
执行命令的类型。
类型:keyword
示例:Application
-
powershell.command.value -
调用的命令。
类型:text
示例:Import-LocalizedData LocalizedData -filename ArchiveResources
-
powershell.command.invocation_details -
包含执行命令的详细信息的对象数组。
类型:array
-
powershell.command.invocation_details.type -
详细信息的类型。
类型:keyword
示例:CommandInvocation
-
powershell.command.invocation_details.related_command -
与详细信息相关的命令。
类型:keyword
示例:Add-Type
-
powershell.command.invocation_details.name -
仅用于 ParameterBinding 详细信息类型。指示参数名称。
类型:keyword
示例:AssemblyName
-
powershell.command.invocation_details.value -
详细信息的值。其含义将取决于详细信息类型。
类型:text
示例:System.IO.Compression.FileSystem
与执行命令的已连接用户相关的数据。
-
powershell.connected_user.domain -
用户域。
类型:keyword
示例:VAGRANT
-
powershell.connected_user.name -
用户名。
类型:keyword
示例:vagrant
与 PowerShell 引擎相关的数据。
-
powershell.engine.version -
用于执行命令的 PowerShell 引擎版本的版本。
类型:keyword
示例:5.1.17763.1007
-
powershell.engine.previous_state -
PowerShell 引擎的先前状态。
类型:keyword
示例:Available
-
powershell.engine.new_state -
PowerShell 引擎的新状态。
类型:keyword
示例:Stopped
与执行的脚本文件相关的数据。
-
powershell.file.script_block_id -
执行的脚本块的 ID。
类型:keyword
示例:50d2dbda-7361-4926-a94d-d9eadfdb43fa
-
powershell.file.script_block_text -
执行的脚本块的文本。
类型:text
示例:.\a_script.ps1
-
powershell.process.executable_version -
托管进程可执行文件的引擎版本。
类型:keyword
示例:5.1.17763.1007
与 PowerShell 引擎主机相关的数据。
-
powershell.provider.new_state -
PowerShell 提供程序的新状态。
类型:keyword
示例:Active
-
powershell.provider.name -
提供程序名称。
类型:keyword
示例:Variable