U ovom ću članku govoriti o mogućnosti pregledavanja zapisa događaja iz naredbenog retka. Možete koristiti ove značajke kada se povezujete putem naredbenog retka ili u svojim skriptama..
Za pregled i proučavanje Windows događanja na lokalnom računalu možete upotrijebiti uslužni program Wevtutil naredbenog retka.
Ovaj uslužni program može biti koristan ako upravljačkim računalom upravljate računalom sa sustavom Windows 2008 i ulogom Server Core. Također može biti korisno ako želite koristiti skriptu konfiguracije dnevnika događaja ili izvesti zapisnike u arhive. Evo nekih stvari koje možete učiniti s Wevtutilom:
Da biste dobili popis imena svih zapisnika događaja u sustavu, koristite el (enum-logs) s Wevtutilom na sljedeći način:
wevtutil el
Možete pregledati konfiguracije dnevnika događaja, kao što je maksimalna veličina datoteke dnevnika, koristeći parametar gl (get-log). Na primjer, za pregled konfiguracije dnevnika aplikacije slijedite ove korake:
wevtutil gl primjena
Ispod je rezultat ovog programa:
naziv: prijava
omogućeno: istina
vrsta: admin
owningPublisher:
izolacija: Primjena
kanalAccess: O: BAG: SYD: (A;; 0xf0007;;; SY) (A;; 0x7;;; BA) (A;; 0x7;;; SO) (A;; 0x3;;; IU) (A ;; 0x3 ;;; SU) (A;; 0x3;;; S-1-5-3) (A;; 0x3;;; S-1-5-33) (A;; 0x1;;; S- 1-5-32-573)
bilježenje:
logFileName:% SystemRoot% \ System32 \ Winevt \ Logs \ Application.evtx
zadržavanje: lažno
autoBackup: lažno
maxSize: 20971520
objavljivanje:
Možete promijeniti konfiguraciju datoteka dnevnika. Na primjer, da biste povećali maksimalnu veličinu dnevnika aplikacije za 100 megabajta (MB) i omogućili okretanjem dnevnika da biste oslobodili prostor za nove događaje kada je zapisnik pun, i automatski sigurnosno kopirajte zapisnike kada postane pun, unesite:
wevtutil sl Application / ms: 104857600 / rt: true / ab: true
Dnevnik događaja možete filtrirati prema određenom događaju ili prema vrsti događaja koristeći parametar qe (upitni događaji). Na primjer, za prikaz posljednja dva događaja u sistemskom zapisniku običnim tekstom koristite opciju / rd, a za postavljanje izlaznog smjera koristite atribut True (to jest, najnoviji se događaji prvo vraćaju) koristite sljedeću naredbu:
wevtutil qe System / c: 2 / rd: true / f: tekst wevtutil
Da biste vidjeli najnovije kritične događaje (razina = 1) ili pogreške (razina = 2) u dnevniku Planer zadataka, koristite opciju / q na sljedeći način:
wevtutil qe Microsoft-Windows-TaskScheduler / Operativni "/ q: * [Sustav [(Razina = 1 ili Razina = 2)]]" / c: 1 / rd: true / f: text
Ovo je kratki pregled uslužnog programa Wevtutil, a više pojedinosti možete pronaći ovdje http://technet.microsoft.com/en-us/library/cc732848%28WS.10%29.aspx. Nadam se da je ovaj članak koristan..
