У цій статті розповім про можливість перегляду журналів подій з командного рядка. Ці можливості можна використовувати при підключенні через командний рядок або в ваших сценаріях.
Для перегляду і вивчення подій Windows Events на локальному комп'ютері, ви можете скористатися утилітою командного рядка Wevtutil.
Утиліта може бути корисна, якщо ви керуєте комп'ютером з Windows 2008 із роллю Server Core з командного рядка. Вона також може бути корисною, якщо ви хочете, використовувати сценарій настройки журналів подій або експортувати журнали для архівних цілей. Ось деякі з речей, які ви зробити за допомогою Wevtutil:
Щоб отримати список імен всіх журналів подій в системі, використовуйте el (enum-logs) з Wevtutil наступним чином:
wevtutil el
Ви можете переглянути конфігурації журналу подій, таких, як максимальний розмір файлу журналу, за допомогою параметра gl (get-log). Наприклад, для перегляду конфігурації журналу додатків, виконайте наступні дії:
wevtutil gl Application
Нижче представлений висновок даної програми:
name: Application
enabled: true
type: Admin
owningPublisher:
isolation: Application
channelAccess: O: BAG: SYD: (A ;; 0xf0007 ;;; SY) (A ;; 0x7 ;;; BA) (A ;; 0x7 ;;; SO) (A ;; 0x3 ;;; IU) (A ;; 0x3 ;;; SU) (A ;; 0x3 ;;; S-1-5-3) (A ;; 0x3 ;;; S-1-5-33) (A ;; 0x1 ;;; S- 1-5-32-573)
logging:
logFileName:% SystemRoot% \ System32 \ Winevt \ Logs \ Application.evtx
retention: false
autoBackup: false
maxSize: 20971520
publishing:
Ви можете змінити конфігурацію файлів журналів. Наприклад, щоб збільшити максимальний розмір журналу додатків на 100 мегабайт (МБ) і включити ротацію логів, щоб звільнити місце для нових подій, коли журнал заповнюється, і автоматично створювати резервні копії журналів, коли він стає заповненим, введіть:
wevtutil sl Application / ms: 104857600 / rt: true / ab: true
Ви можете фільтрувати журналі подій за певним подій або за типом події, використовуючи параметр qe (query-events). Наприклад, для відображення останніх двох події в системному журналі у форматі звичайного тексту, використовуйте параметр / rd, а щоб задати напрямок виведення використовуйте атрибут True (тобто найостанніші події повертаються першими) скористайтеся командою
wevtutil qe System / c: 2 / rd: true / f: text wevtutil
Для перегляду останніх критичних подій (рівень = 1) або помилок (рівень = 2) в журналі Task Scheduler, використовуйте параметр / q наступним чином:
wevtutil qe Microsoft-Windows-TaskScheduler / Operational «/ q: * [System [(Level = 1 or Level = 2)]]» / c: 1 / rd: true / f: text
Це був короткий огляд утиліти Wevtutil, більш докладно про неї можна почитати тут http://technet.microsoft.com/ru-ru/library/cc732848%28WS.10%29.aspx. Сподіваюся, ця стаття буде корисною.
