Использование WEVTUTIL для управления журналом событий

OSzone.net » Microsoft » Windows Server 2008 » Обзор компонентов системы » Использование WEVTUTIL для управления журналом событий
Автор: Дерек Мелбер
Иcточник: WinSecurity.ru
Опубликована: 21.05.2008

Наконец-то наступил момент, когда компания Microsoft затратила время и энергию для предоставления нам полезного вьювера Event Viewer. Windows Vista и Windows Server 2008 идут с исправленным Event Viewer, а также некоторыми дополнительными инструментами, которые делают использование Event Viewer чем-то таким, чем легко управлять. Вдобавок к новым опциям подписки, которыми теперь обладает Event Viewer, появилась утилита командной строки, WEVTUTIL, позволяющая контролировать практически каждый аспект журналов Event Viewer.

Команды и синтаксис WEVTUTIL

Команда WEVTUTIL имеет огромный потенциал мощности, а ее параметры и переключатели являются прямым тому доказательством. Поскольку команда WEVTUTIL может контролировать практически каждый аспект Event Viewer и журналов регистрации событий, для контроля этих деталей должно быть множество параметров и переключателей.

Основная структура синтаксиса для WEVTUTIL представлена ниже:

wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/
f:<Format>]]
wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/
f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/
i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/
ab:<Auto>] [/ms:<Size>] [/l:<Level>] [/k:<Keywords>] [/
ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/
gm:<Message>] [/f:<Format>]] [{im | install-manifest} <Manifest>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-
events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/
q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/
f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/
sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/
r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/
uni:<Unicode>]

Как и в любой другой команде и параметрах, существуют обязательные и необязательные переключатели. Синтаксис тоже крайне важен, поскольку некоторые ссылки требуют двоеточия (:), другие используют пробел между переключателями и путями, третьи используют кавычки (' '). В следующей таблице даны описания каждого параметра и синтаксиса для необязательных переключателей. Вы можете получить более подробный обзор и описание параметров и опций на сайте компании Microsoft на странице TechNet Wevtutil.

Параметр Описание
{el | enum-logs} Отображает имена все журналов, включая новые журналы Windows с их синтаксисом.
{gl | get-log} <Logname> [/f:<Format>] Позволяет вам указывать журнал, статус которого будет отображен. Статус и информация будет включать данные о том, включен или выключен журнал, ограничения его размеров и путь к месту хранения журнала.
{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<Size>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>] Позволяет вам модифицировать детальную конфигурацию журнала, который вы указали.
{ep | enum-publishers} Отображает сервер публикаций событий на локальном компьютере. Серверы публикации событий – это компоненты ПО, которые генерируют события, а затем предоставляют их вьюверу Event Viewer.
{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] Позволяет вам указывать сервер публикации, информация о конфигурации которого затем будет отображена.
{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>] Позволяет вам получать события для определенных журналов. Журнал может быть получен из вьювера, файла журнала, или используя структурный запрос. В большинстве случаев вы просто вводите имя журнала для <Path>. Если вы используете /lf опцию, тогда вам нужно указать путь к файлу журнала, который вы хотите прочесть. Чтобы использовать структурный запрос (structured query), вы должны использовать параметр /sq помимо указания пути структурному запросу.
{gli | get-loginfo} <Logname> [/lf:<Logfile>] Позволяет вам собирать информацию о журнале событий и файле журнала. Очень полезно увидеть полную информацию о журнале.
{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>] Позволяет вам экспортировать события в файл. Вы можете экспортировать информацию журнала из Event Viewer, файла журнала или используя структурный запрос. В большинстве случаев вы просто вводите имя для <Path>. Если вы используете опцию /lf, тогда вам нужно указать путь к файлу журнала, который вы хотите прочитать. Чтобы использовать структурный запрос, вы должны использовать параметр /sq помимо указания пути структурному запросу. <Exportfile> - это путь к файлу, в который вы хотите экспортировать события для хранения.
{al | archive-log} <Logpath> [/l:<Locale>] Позволяет вам архивировать журнал, который вы указываете. Местом расположения архива будет подкаталог со всей информацией, хранящейся в подкаталоге.
{cl | clear-log} <Logname> [/bu:<Backup>] Позволяет вам удалять события из указанного журнала. Если вы хотите создать резервную копию удаляемых событий, то можете использовать /bu опцию.

Полезные примеры использования WEVTUTIL

С таким количеством новых журналов и средств публикации в Windows Vista и Windows Server 2008 приятно осознавать тот факт, что вам нет необходимости запоминать их все. Конечно, вы всегда можете заглянуть в Event Viewer, чтобы просмотреть полный список. Проблема этой опции заключается в том, что вы не всегда знаете синтаксис для интересующего вас журнала или средства публикации. Вместо этого вы можете использовать следующие команды для получения полного списка всех журналов и средств публикации.

Пример 1: на рисунке 1 показано, как получать полный список всех журналов событий на вашем локальном компьютере.

Рисунок 1: Использование параметра el для получения полного списка журналов событий на локальном компьютере

Рисунок 1: Использование параметра el для получения полного списка журналов событий на локальном компьютере

Пример 2: на рисунке 2 показано, как получать список всех средств публикации событий на локальном компьютере.

Рисунок 2: Использование параметра ep для получения полного списка средств публикации на локальном компьютере

Рисунок 2: Использование параметра ep для получения полного списка средств публикации на локальном компьютере

Пример 3: на рисунке 3 показано, как получать информацию об отдельном журнале событий.

Рисунок 3: Использование параметра gl и имени журнала для получения информации об этом журнале

Рисунок 3: Использование параметра gl и имени журнала для получения информации об этом журнале

Пример 4: на рисунке 4 показано, как можно экспортировать информацию о событиях из журнала событий event viewer в архивный файл или с целью сохранения.

Рисунок 4: Использование параметра epl для экспортирования журнала событий в файл

Рисунок 4: Использование параметра epl для экспортирования журнала событий в файл

Пример 5: на рисунке 5 показано, как можно очищать журнал событий, а также создавать резервную копию журнала, прежде чем он будет очищен.

Рисунок 5: Использование параметра cl в комбинации с /bu:path переключателем для создания резервной копии и отчистки журнала

Рисунок 5: Использование параметра cl в комбинации с /bu:<path> переключателем для создания резервной копии и отчистки журнала

Заключение

Как вы видите, контроль, который можно получить над журналами событий с помощью WEVTUTIL гораздо лучше. Этот инструмент идет в комплекте с Windows Vista и Windows Server 2008, позволяя контролировать практически каждый аспект генерируемых журналов событий. Windows Vista и Windows Server 2008 идут с новым спектром журналов событий, которые можно использовать, а теперь с этой утилитой командной строки, вы можете гораздо эффективнее управлять ими. Вы также можете управлять и архивировать журналы, используя команду WEVTUTIL, либо с помощью сценариев VBScript, либо совместно со своим любимым инструментом для сценариев. Если вы используете PowerShell, вы можете управлять WEVTUTIL с помощью ее интерфейса.


Ссылка: http://www.oszone.net/6975/