Jak zarządzać dziennikami zdarzeń z wiersza poleceń

W tym artykule omówię możliwość przeglądania dzienników zdarzeń z wiersza poleceń. Z tych funkcji można korzystać podczas łączenia za pomocą wiersza polecenia lub skryptów..

Aby wyświetlić i zbadać Zdarzenia systemu Windows na komputerze lokalnym, możesz użyć narzędzia wiersza polecenia Wevtutil.

Narzędzie może być przydatne, jeśli kontrolujesz komputer z systemem Windows 2008 i rolą Server Core z wiersza polecenia. Może być również przydatny, jeśli chcesz użyć skryptu konfiguracji dziennika zdarzeń lub wyeksportować dzienniki do celów archiwizacji. Oto kilka rzeczy, które możesz zrobić z Wevtutil:

Aby uzyskać listę nazw wszystkich dzienników zdarzeń w systemie, użyj el (enum-logs) z Wevtutil w następujący sposób:

wevtutil el


Możesz przeglądać konfiguracje dziennika zdarzeń, takie jak maksymalny rozmiar pliku dziennika, używając parametru gl (get-log). Na przykład, aby wyświetlić konfigurację dziennika aplikacji, wykonaj następujące kroki:

wevtutil gl Zastosowanie

Poniżej znajduje się wynik tego programu:

nazwa: Aplikacja

włączone: prawda

wpisz: admin

owningPublisher:

izolacja: Zastosowanie

channelAccess: O: BAG: SYD: (A ;; 0xf0007 ;; SY) (A ;; 0x7 ;;; BA) (A ;; 0x7 ;;; SO) (A ;; 0x3 ;;; IU) (A ;; 0x3 ;;; SU) (A ;; 0x3 ;;; S-1-5-3) (A ;; 0x3 ;;; S-1-5-33) (A ;; 0x1 ;;; S- 1-5-32-573)

logowanie:

logFileName:% SystemRoot% \ System32 \ Winevt \ Logs \ Application.evtx

retencja: fałsz

autoBackup: false

maxSize: 20971520

publikowanie:

Możesz zmienić konfigurację plików dziennika. Na przykład, aby zwiększyć maksymalny rozmiar dziennika aplikacji o 100 megabajtów (MB) i umożliwić obracanie dziennika, aby zwolnić miejsce na nowe zdarzenia, gdy dziennik jest pełny, i automatycznie tworzyć kopie zapasowe dzienników, gdy się zapełni, wpisz:

wevtutil sl Application / ms: 104857600 / rt: true / ab: true

Możesz filtrować dziennik zdarzeń według określonego zdarzenia lub według rodzaju zdarzenia, używając parametru qe (query-events). Na przykład, aby wyświetlić dwa ostatnie zdarzenia w syslog w postaci zwykłego tekstu, użyj opcji / rd, a aby ustawić kierunek wyjściowy, użyj atrybutu True (to znaczy, że najnowsze zdarzenia są zwracane jako pierwsze), użyj następującego polecenia:

wevtutil qe System / c: 2 / rd: true / f: text wevtutil

Aby wyświetlić najnowsze krytyczne zdarzenia (poziom = 1) lub błędy (poziom = 2) w dzienniku Harmonogramu zadań, użyj opcji / q w następujący sposób:

wevtutil qe Microsoft-Windows-TaskScheduler / Operational „/ q: * [System [(Level = 1 lub Level = 2)]]” / c: 1 / rd: true / f: text

To był krótki przegląd narzędzia Wevtutil, więcej szczegółowych informacji można znaleźć tutaj http://technet.microsoft.com/en-us/library/cc732848%28WS.10%29.aspx. Mam nadzieję, że ten artykuł jest pomocny..