В тази статия ще говоря за възможността за преглед на дневниците на събитията от командния ред. Можете да използвате тези функции, когато се свързвате през командния ред или във вашите скриптове..
За да преглеждате и изучавате Windows Events на локален компютър, можете да използвате помощната програма на командния ред Wevtutil.
Помощната програма може да бъде полезна, ако контролирате компютър с Windows 2008 и ролята на Server Core от командния ред. Също така може да бъде полезно, ако искате да използвате скрипта за конфигуриране на дневника на събитията или да експортирате дневниците за архивни цели. Ето някои от нещата, които можете да направите с Wevtutil:
За да получите списък с имената на всички регистрационни файлове на събитията в системата, използвайте el (enum-logs) с Wevtutil, както следва:
wevtutil ел
Можете да прегледате конфигурациите на дневника на събитията, като максималния размер на лог файла, като използвате параметъра gl (get-log). Например, за да видите конфигурацията на дневника на приложението, изпълнете следните стъпки:
wevtutil GL приложение
По-долу е изходът на тази програма:
име: Приложение
активиран: вярно
тип: админ
owningPublisher:
изолация: Приложение
channelAccess: O: BAG: SYD: (A;; 0xf0007 ;;; SY) (A;; 0x7;;; BA) (A;; 0x7;;; SO) (A;; 0x3 ;;; IU) (A ;; 0x3;;; SU) (A;; 0x3;;; S-1-5-3) (A;; 0x3;;; S-1-5-33) (A;; 0x1;;; S- 1-5-32-573)
сеч:
logFileName:% SystemRoot% \ System32 \ Winevt \ Logs \ Application.evtx
задържане: невярно
autoBackup: невярно
maxSize: 20971520
публикуване:
Можете да промените конфигурацията на лог файловете. Например, за да увеличите максималния размер на дневника на приложения със 100 мегабайта (MB) и да активирате завъртането на дневника, за да освободите място за нови събития, когато логът е пълен, и автоматично архивирайте журнали, когато стане пълен, въведете:
wevtutil sl Приложение / ms: 104857600 / rt: true / ab: true
Можете да филтрирате дневника на събитията по конкретно събитие или по тип събитие, като използвате параметъра qe (query-events). Например, за да покажете последните две събития в syslog с обикновен текст, използвайте опцията / rd и за задаване на изходната посока използвайте атрибута True (тоест най-новите събития се връщат първо), използвайте следната команда:
wevtutil qe System / c: 2 / rd: true / f: text wevtutil
За да видите най-новите критични събития (ниво = 1) или грешки (ниво = 2) в дневника на планировника на задачите, използвайте опцията / q, както следва:
wevtutil qe Microsoft-Windows-TaskScheduler / Оперативен “/ q: * [Система [(Ниво = 1 или Ниво = 2)]]” / c: 1 / rd: true / f: text
Това беше кратък преглед на помощната програма Wevtutil, за повече подробности за нея можете да намерите тук http://technet.microsoft.com/en-us/library/cc732848%28WS.10%29.aspx. Надявам се тази статия да е полезна..
