Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
Iceсream Screen Recorder – это программа для захвата видео с аудио и микрофоном и создания скриншотов с помощью ряда доп...
SlimDrivers — бесплатная программа для обнаружения присутствующих на компьютере драйверов, определение их версий, поиска...
Многофункциональный, кроссплатформенный текстовый редактор с функциями подсветки синтаксиса, авто-подстановкой выражений...
Программа позволяет быстро обнаруживать на раннем этапе возможные отказы в работе сети или веб-сайта. PRTG Network Monit...
Программа для создания презентаций и интерактивных обучающих видеоуроков. Camtasia Studio может осуществлять захват изоб...
OSzone.net Microsoft Windows Server 2008 Обзор компонентов системы Использование WEVTUTIL для управления журналом событий RSS

Использование WEVTUTIL для управления журналом событий

Текущий рейтинг: 4.2 (проголосовало 5)
 Посетителей: 4807 | Просмотров: 6175 (сегодня 2)  Шрифт: - +

Наконец-то наступил момент, когда компания Microsoft затратила время и энергию для предоставления нам полезного вьювера Event Viewer. Windows Vista и Windows Server 2008 идут с исправленным Event Viewer, а также некоторыми дополнительными инструментами, которые делают использование Event Viewer чем-то таким, чем легко управлять. Вдобавок к новым опциям подписки, которыми теперь обладает Event Viewer, появилась утилита командной строки, WEVTUTIL, позволяющая контролировать практически каждый аспект журналов Event Viewer.

Команды и синтаксис WEVTUTIL

Команда WEVTUTIL имеет огромный потенциал мощности, а ее параметры и переключатели являются прямым тому доказательством. Поскольку команда WEVTUTIL может контролировать практически каждый аспект Event Viewer и журналов регистрации событий, для контроля этих деталей должно быть множество параметров и переключателей.

Основная структура синтаксиса для WEVTUTIL представлена ниже:

wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/
f:<Format>]]
wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/
f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/
i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/
ab:<Auto>] [/ms:<Size>] [/l:<Level>] [/k:<Keywords>] [/
ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/
gm:<Message>] [/f:<Format>]] [{im | install-manifest} <Manifest>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-
events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/
q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/
f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/
sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/
r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/
uni:<Unicode>]

Как и в любой другой команде и параметрах, существуют обязательные и необязательные переключатели. Синтаксис тоже крайне важен, поскольку некоторые ссылки требуют двоеточия (:), другие используют пробел между переключателями и путями, третьи используют кавычки (' '). В следующей таблице даны описания каждого параметра и синтаксиса для необязательных переключателей. Вы можете получить более подробный обзор и описание параметров и опций на сайте компании Microsoft на странице TechNet Wevtutil.

Параметр Описание
{el | enum-logs} Отображает имена все журналов, включая новые журналы Windows с их синтаксисом.
{gl | get-log} <Logname> [/f:<Format>] Позволяет вам указывать журнал, статус которого будет отображен. Статус и информация будет включать данные о том, включен или выключен журнал, ограничения его размеров и путь к месту хранения журнала.
{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<Size>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>] Позволяет вам модифицировать детальную конфигурацию журнала, который вы указали.
{ep | enum-publishers} Отображает сервер публикаций событий на локальном компьютере. Серверы публикации событий – это компоненты ПО, которые генерируют события, а затем предоставляют их вьюверу Event Viewer.
{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] Позволяет вам указывать сервер публикации, информация о конфигурации которого затем будет отображена.
{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>] Позволяет вам получать события для определенных журналов. Журнал может быть получен из вьювера, файла журнала, или используя структурный запрос. В большинстве случаев вы просто вводите имя журнала для <Path>. Если вы используете /lf опцию, тогда вам нужно указать путь к файлу журнала, который вы хотите прочесть. Чтобы использовать структурный запрос (structured query), вы должны использовать параметр /sq помимо указания пути структурному запросу.
{gli | get-loginfo} <Logname> [/lf:<Logfile>] Позволяет вам собирать информацию о журнале событий и файле журнала. Очень полезно увидеть полную информацию о журнале.
{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>] Позволяет вам экспортировать события в файл. Вы можете экспортировать информацию журнала из Event Viewer, файла журнала или используя структурный запрос. В большинстве случаев вы просто вводите имя для <Path>. Если вы используете опцию /lf, тогда вам нужно указать путь к файлу журнала, который вы хотите прочитать. Чтобы использовать структурный запрос, вы должны использовать параметр /sq помимо указания пути структурному запросу. <Exportfile> - это путь к файлу, в который вы хотите экспортировать события для хранения.
{al | archive-log} <Logpath> [/l:<Locale>] Позволяет вам архивировать журнал, который вы указываете. Местом расположения архива будет подкаталог со всей информацией, хранящейся в подкаталоге.
{cl | clear-log} <Logname> [/bu:<Backup>] Позволяет вам удалять события из указанного журнала. Если вы хотите создать резервную копию удаляемых событий, то можете использовать /bu опцию.

Полезные примеры использования WEVTUTIL

С таким количеством новых журналов и средств публикации в Windows Vista и Windows Server 2008 приятно осознавать тот факт, что вам нет необходимости запоминать их все. Конечно, вы всегда можете заглянуть в Event Viewer, чтобы просмотреть полный список. Проблема этой опции заключается в том, что вы не всегда знаете синтаксис для интересующего вас журнала или средства публикации. Вместо этого вы можете использовать следующие команды для получения полного списка всех журналов и средств публикации.

Пример 1: на рисунке 1 показано, как получать полный список всех журналов событий на вашем локальном компьютере.

Рисунок 1: Использование параметра el для получения полного списка журналов событий на локальном компьютере

Рисунок 1: Использование параметра el для получения полного списка журналов событий на локальном компьютере

Пример 2: на рисунке 2 показано, как получать список всех средств публикации событий на локальном компьютере.

Рисунок 2: Использование параметра ep для получения полного списка средств публикации на локальном компьютере

Рисунок 2: Использование параметра ep для получения полного списка средств публикации на локальном компьютере

Пример 3: на рисунке 3 показано, как получать информацию об отдельном журнале событий.

Рисунок 3: Использование параметра gl и имени журнала для получения информации об этом журнале

Рисунок 3: Использование параметра gl и имени журнала для получения информации об этом журнале

Пример 4: на рисунке 4 показано, как можно экспортировать информацию о событиях из журнала событий event viewer в архивный файл или с целью сохранения.

Рисунок 4: Использование параметра epl для экспортирования журнала событий в файл

Рисунок 4: Использование параметра epl для экспортирования журнала событий в файл

Пример 5: на рисунке 5 показано, как можно очищать журнал событий, а также создавать резервную копию журнала, прежде чем он будет очищен.

Рисунок 5: Использование параметра cl в комбинации с /bu:path переключателем для создания резервной копии и отчистки журнала

Рисунок 5: Использование параметра cl в комбинации с /bu:<path> переключателем для создания резервной копии и отчистки журнала

Заключение

Как вы видите, контроль, который можно получить над журналами событий с помощью WEVTUTIL гораздо лучше. Этот инструмент идет в комплекте с Windows Vista и Windows Server 2008, позволяя контролировать практически каждый аспект генерируемых журналов событий. Windows Vista и Windows Server 2008 идут с новым спектром журналов событий, которые можно использовать, а теперь с этой утилитой командной строки, вы можете гораздо эффективнее управлять ими. Вы также можете управлять и архивировать журналы, используя команду WEVTUTIL, либо с помощью сценариев VBScript, либо совместно со своим любимым инструментом для сценариев. Если вы используете PowerShell, вы можете управлять WEVTUTIL с помощью ее интерфейса.

Автор: Дерек Мелбер  •  Иcточник: WinSecurity.ru  •  Опубликована: 21.05.2008
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей RSS

Чтобы оставить комментарий, зарегистрируйтесь или войдите с учетной записью социальной сети.