by
У цій статті розповім про можливість перегляду журналів подій з командного рядка. Ці можливості можна використовувати при підключенні через командний рядок або в ваших сценаріях.
Для перегляду і вивчення подій Windows Events на локальному комп’ютері, ви можете скористатися утилітою командного рядка Wevtutil.
Утиліта може бути корисна, якщо ви керуєте комп’ютером з Windows 2008 із роллю Server Core з командного рядка. Вона також може бути корисною, якщо ви хочете, використовувати сценарій настройки журналів подій або експортувати журнали для архівних цілей. Ось деякі з речей, які ви зробити за допомогою Wevtutil:
Щоб отримати список імен всіх журналів подій в системі, використовуйте el (enum-logs) з Wevtutil наступним чином:
wevtutil він
Ви можете переглянути конфігурації журналу подій, таких, як максимальний розмір файлу журналу, за допомогою параметра gl (get-log). Наприклад, для перегляду конфігурації журналу додатків, виконайте наступні дії:
wevtutil gl Застосування
Нижче представлений висновок даної програми:
назва: Додаток
увімкнено: істина
тип: адміністратор
Видавець:
ізоляція: Застосування
channelAccess: O: BAG: SYD: (A ;; 0xf0007 ;;; SY) (A ;; 0x7 ;;; BA) (A ;; 0x7 ;;; SO) (A ;; 0x3 ;;; IU) (A ;; 0x3 ;;; SU) (A ;; 0x3 ;;; S-1-5-3) (A ;; 0x3 ;;; S-1-5-33) (A ;; 0x1 ;;; S- 1-5-32-573)
лісозаготівля:
logFileName:% SystemRoot% System32 Winevt Logs Application.evtx
утримання: помилкове
autoBackup: false
maxSize: 20971520
видавництво:
Ви можете змінити конфігурацію файлів журналів. Наприклад, щоб збільшити максимальний розмір журналу додатків на 100 мегабайт (МБ) і включити ротацію логів, щоб звільнити місце для нових подій, коли журнал заповнюється, і автоматично створювати резервні копії журналів, коли він стає заповненим, введіть:
wevtutil sl Застосування / ms: 104857600 / rt: true / ab: true
Ви можете фільтрувати журналі подій за певним подій або за типом події, використовуючи параметр qe (query-events). Наприклад, для відображення останніх двох події в системному журналі у форматі звичайного тексту, використовуйте параметр / rd, а щоб задати напрямок виведення використовуйте атрибут True (тобто найостанніші події повертаються першими) скористайтеся командою
wevtutil qe System / c: 2 / rd: true / f: text wevtutil
Для перегляду останніх критичних подій (рівень = 1) або помилок (рівень = 2) в журналі Task Scheduler, використовуйте параметр / q наступним чином:
wevtutil qe Microsoft-Windows-TaskScheduler / Operational «/ q: *[System[(Level=1 or Level=2)]]»/ C: 1 / rd: true / f: text
Це був короткий огляд утиліти Wevtutil, більш докладно про неї можна почитати тут http://technet.microsoft.com/ru-ru/library/cc732848%28WS.10%29.aspx . Сподіваюся, ця стаття буде корисною.