V tomto článku budu hovořit o schopnosti prohlížet protokoly událostí z příkazového řádku. Tyto funkce můžete použít při připojení prostřednictvím příkazového řádku nebo ve skriptech..
Chcete-li zobrazit a studovat události Windows v místním počítači, můžete použít nástroj příkazového řádku Wevtutil.
Tento nástroj může být užitečný, pokud ovládáte počítač se systémem Windows 2008 a roli jádra serveru z příkazového řádku. Může být také užitečné, pokud chcete použít konfigurační skript protokolu událostí nebo exportovat protokoly pro účely archivace. Zde jsou některé z věcí, které můžete s Wevtutil dělat:
Chcete-li získat seznam jmen všech protokolů událostí v systému, použijte el (enum-logs) s Wevtutil takto:
wevtutil el
Konfigurace protokolu událostí, například maximální velikost souboru protokolu, můžete zobrazit pomocí parametru gl (get-log). Chcete-li například zobrazit konfiguraci protokolu aplikace, postupujte takto:
wevtutil gl Aplikace
Níže je uveden výstup tohoto programu:
name: Aplikace
povoleno: true
typ: admin
vlastníkVlastník:
izolace: Aplikace
channelAccess: O: BAG: SYD: (A ;; 0xf0007 ;;; SY) (A ;; 0x7 ;;; BA) (A ;; 0x7 ;;; SO) (A ;; 0x3 ;;; IU) (A ;; ;; 0x3;;; SU) (A;; 0x3 ;;; S-1-5-3) (A;; 0x3 ;;; S-1-5-33) (A ;; 0x1 ;;; S- 1-5-32-573)
protokolování:
logFileName:% SystemRoot% \ System32 \ Winevt \ Logs \ Application.evtx
zadržení: nepravdivé
autoBackup: false
maxSize: 20971520
vydavatelství:
Můžete změnit konfiguraci souborů protokolu. Chcete-li například zvýšit maximální velikost protokolu aplikace o 100 megabajtů (MB) a povolit rotaci protokolu, aby se uvolnil prostor pro nové události, když je protokol plný, a automaticky zálohoval protokoly, jakmile bude plný, zadejte:
wevtutil sl Aplikace / ms: 104857600 / rt: true / ab: true
Protokol událostí můžete filtrovat podle konkrétní události nebo podle typu události pomocí parametru qe (query-events). Například pro zobrazení posledních dvou událostí v systémovém protokolu v prostém textu použijte volbu / rd a pro nastavení směru výstupu použijte atribut True (tj. Nejnovější události jsou vráceny jako první) pomocí následujícího příkazu:
wevtutil qe Systém / c: 2 / rd: true / f: text wevtutil
Chcete-li zobrazit poslední kritické události (úroveň = 1) nebo chyby (úroveň = 2) v protokolu Plánovače úloh, použijte volbu / q takto:
wevtutil qe Microsoft-Windows-TaskScheduler / Operational “/ q: * [System [(Level = 1 or Level = 2)]]“ / c: 1 / rd: true / f: text
Toto byl stručný přehled obslužného programu Wevtutil, další podrobnosti o něm naleznete zde http://technet.microsoft.com/en-us/library/cc732848%28WS.10%29.aspx. Doufám, že tento článek je užitečný..
