V tem članku bom govoril o zmožnosti ogleda dnevnikov dogodkov iz ukazne vrstice. Te funkcije lahko uporabite pri povezovanju prek ukazne vrstice ali v svojih skriptah..
Za ogled in preučevanje dogodkov Windows v lokalnem računalniku lahko uporabite pripomoček ukazne vrstice Wevtutil.
Program je lahko uporaben, če v ukazni vrstici nadzorujete računalnik z operacijskim sistemom Windows 2008 in vlogo Server Core. Koristno je tudi, če želite uporabiti skript konfiguracije dnevnika dogodkov ali izvoziti dnevnike za arhivske namene. Tu je nekaj stvari, ki jih lahko storite z Wevtutilom:
Če želite dobiti seznam imen vseh dnevnikov dogodkov v sistemu, uporabite el (enum-dnevniki) z Wevtutilom na naslednji način:
wevtutil el
Konfiguracije dnevnika dogodkov, kot je največja velikost datoteke dnevnika, si lahko ogledate s parametrom gl (get-log). Na primer, če si želite ogledati konfiguracijo dnevnika aplikacij, sledite tem korakom:
wevtutil gl Uporaba
Spodaj je rezultat tega programa:
ime: Vloga
omogočeno: res
tip: admin
owningPublisher:
izolacija: Uporaba
kanalAccess: O: BAG: SYD: (A;; 0xf0007;;; SY) (A;; 0x7;; BA) (A;; 0x7;;; SO) (A;; 0x3;;; IU) (A ;; 0x3;;; SU) (A;; 0x3;;; S-1-5-3) (A;; 0x3;;; S-1-5-33) (A;; 0x1;;; S- 1-5-32-573)
beleženje:
logFileName:% SystemRoot% \ System32 \ Winevt \ Dnevniki \ Application.evtx
zadrževanje: napačno
autoBackup: napačno
maxSize: 20971520
založništvo:
Lahko spremenite konfiguracijo datotek dnevnika. Če želite na primer povečati največjo velikost dnevnika aplikacij za 100 megabajtov (MB) in omogočiti vrtenje dnevnika, da se sprosti prostor za nove dogodke, ko je dnevnik poln, in samodejno varnostno kopirajte dnevnike, ko postane poln, vnesite:
wevtutil sl Uporaba / ms: 104857600 / rt: true / ab: true
Dnevnik dogodkov lahko filtrirate po določenem dogodku ali po vrsti dogodka s parametrom qe (poizvedba). Na primer, če želite prikazati zadnja dva dogodka v syslogu v navadnem besedilu, uporabite možnost / rd in za nastavitev izhodne smeri uporabite atribut True (to je, da se najnovejši dogodki najprej vrnejo) uporabite naslednji ukaz:
wevtutil qe System / c: 2 / rd: true / f: text wevtutil
Če si želite ogledati zadnje kritične dogodke (raven = 1) ali napake (raven = 2) v dnevniku orodja za načrtovanje opravil, uporabite možnost / q na naslednji način:
wevtutil qe Microsoft-Windows-TaskScheduler / Operativno "/ q: * [Sistem [(nivo = 1 ali nivo = 2)]]" / c: 1 / rd: true / f: text
To je bil kratek pregled pripomočka Wevtutil, več podrobnosti o njem najdete tukaj http://technet.microsoft.com/en-us/library/cc732848%28WS.10%29.aspx. Upam, da je ta članek koristen..
