Ebben a cikkben az eseménynaplók a parancssorból történő megtekintésének képességéről fogok beszélni. Ezeket a funkciókat akkor használhatja, ha a parancssoron keresztül vagy a szkriptekben csatlakozik..
A Windows események helyi számítógépen történő megtekintéséhez és tanulmányozásához használja a Wevtutil parancssori segédprogramot.
A segédprogram akkor hasznos lehet, ha egy Windows 2008 rendszert futtató számítógépet és a Server Core szerepet a parancssorból kezeli. Hasznos lehet az eseménynapló konfigurációs szkriptjének használatához, vagy a naplók archiválási célú exportálásához is. Íme néhány dolog, amit a Wevtutil-rel megtehetsz:
A rendszer összes eseménynaplójának nevének listájához az el (enum-naplók) a Wevtutil használatával:
wevtutil el
Az gl (get-log) paraméter segítségével megtekintheti az eseménynapló konfigurációit, például a naplófájl maximális méretét. Például az alkalmazásnapló-konfiguráció megtekintéséhez hajtsa végre az alábbi lépéseket:
wevtutil gl kérelem
Az alábbiakban látható a program kimenete:
név: Alkalmazás
engedélyezve: igaz
típus: admin
owningPublisher:
izolálás: Alkalmazás
csatorna hozzáférés: O: BAG: SYD: (A ;; 0xf0007 ;;; SY) (A ;; 0x7 ;;; BA) (A ;; 0x7 ;;; SO) (A ;; 0x3 ;;; NE) (A ;; 0x3 ;;; SU) (A;; 0x3 ;;; S-1-5-3) (A ;; 0x3 ;;; S-1-5-33) (A ;; 0x1 ;;; S- 1-5-32-573)
naplózás:
logFileName:% SystemRoot% \ System32 \ Winevt \ Logs \ Application.evtx
megtartás: hamis
autoBackup: hamis
maxSize: 20971520
kiadói:
Megváltoztathatja a naplófájlok konfigurációját. Például, ha az alkalmazásnapló maximális méretét 100 megabájt (MB) növeli, és lehetővé teszi a naplóforgatást, hogy szabadítson fel helyet az új eseményekre, amikor a napló megtelt, és automatikusan készítsen biztonsági másolatot a naplókról, amikor megtelik, írja be:
wevtutil sl Alkalmazás / ms: 104857600 / rt: true / ab: true
Az eseménynaplót szűrheti egy adott esemény vagy eseménytípus alapján a qe (query-events) paraméter segítségével. Például, ha a syslog utolsó két eseményét egyszerű szövegben szeretné megjeleníteni, használja az / rd opciót, és a kimeneti irány beállításához használja a True attribútumot (azaz a legutóbbi események kerülnek vissza), használja a következő parancsot:
wevtutil qe System / c: 2 / rd: true / f: text wevtutil
A Feladatütemező naplójában a legutóbbi kritikus események (szint = 1) vagy hibák (szint = 2) megtekintéséhez használja a / q lehetőséget az alábbiak szerint:
wevtutil qe Microsoft-Windows-TaskScheduler / Operatív “/ q: * [Rendszer [(1. szint vagy 1. szint = 2.)]]” / c: 1 / rd: true / f: text
Ez a Wevtutil segédprogram rövid áttekintése volt, további részletek itt találhatók: http://technet.microsoft.com/en-us/library/cc732848%28WS.10%29.aspx. Remélem, hogy ez a cikk hasznos..
