V tomto článku budem hovoriť o možnosti zobraziť protokoly udalostí z príkazového riadku. Tieto funkcie môžete použiť pri pripájaní cez príkazový riadok alebo v skriptoch..
Na prezeranie a štúdium udalostí Windows na lokálnom počítači môžete použiť obslužný program príkazového riadka Wevtutil.
Tento obslužný program môže byť užitočný, ak ovládate počítač so systémom Windows 2008 a rolou Server Core z príkazového riadku. Môže byť tiež užitočné, ak chcete použiť konfiguračný skript protokolu udalostí alebo exportovať protokoly na archívne účely. Tu sú niektoré z vecí, ktoré môžete robiť s Wevtutil:
Ak chcete získať zoznam názvov všetkých protokolov udalostí v systéme, použite el (enum-logs) s Wevtutil takto:
wevtutil el
Pomocou parametra gl (get-log) si môžete zobraziť konfigurácie denníka udalostí, ako je maximálna veľkosť protokolového súboru. Ak chcete napríklad zobraziť konfiguráciu denníka aplikácií, postupujte takto:
wevtutil gl prihláška
Nižšie je uvedený výstup tohto programu:
name: Aplikácia
povolené: true
typ: admin
owningPublisher:
izolácia: Aplikácia
channelAccess: O: BAG: SYD: (A ;; 0xf0007 ;;; SY) (A ;; 0x7 ;;; BA) (A ;; 0x7 ;;; SO) (A ;; 0x3 ;;; IU) (A ;; ;; 0x3;;; SU) (A;; 0x3;;; S-1-5-3) (A;; 0x3 ;;; S-1-5-33) (A ;; 0x1 ;;; S-; 1-5-32-573)
protokolovanie:
logFileName:% SystemRoot% \ System32 \ Winevt \ Logs \ Application.evtx
zadržanie: nepravdivé
autoBackup: false
maxSize: 20971520
publikovanie:
Môžete zmeniť konfiguráciu protokolových súborov. Napríklad, ak chcete zväčšiť maximálnu veľkosť denníka aplikácie o 100 megabajtov (MB) a umožniť rotácii denníka, aby sa uvoľnil priestor pre nové udalosti, keď je denník plný, a automaticky zálohovať denníky, keď bude plný, zadajte:
wevtutil sl Aplikácia / ms: 104857600 / rt: true / ab: true
Protokol udalostí môžete filtrovať podľa konkrétnej udalosti alebo podľa typu udalosti pomocou parametra qe (query-events). Napríklad, ak chcete zobraziť posledné dve udalosti v sysloge ako obyčajný text, použite voľbu / rd a na nastavenie smeru výstupu použite atribút True (to znamená, že najnovšie udalosti sa vrátia ako prvé), použite nasledujúci príkaz:
wevtutil qe Systém / c: 2 / rd: true / f: text wevtutil
Ak chcete zobraziť najnovšie kritické udalosti (úroveň = 1) alebo chyby (úroveň = 2) v protokole Plánovača úloh, použite voľbu / q takto:
wevtutil qe Microsoft-Windows-TaskScheduler / Operational “/ q: * [System [(Level = 1 or Level = 2)]]“ / c: 1 / rd: true / f: text
Toto bol stručný prehľad pomocného programu Wevtutil, ďalšie informácie o ňom nájdete tu http://technet.microsoft.com/en-us/library/cc732848%28WS.10%29.aspx. Dúfam, že tento článok je užitočný..
