Board logo

标题: [原创] 系统事件日志命令:eventquery、eventtriggers、eventcreate [打印本页]

作者: cjiabing    时间: 2011-8-4 18:56     标题: 系统事件日志命令:eventquery、eventtriggers、eventcreate

本帖最后由 cjiabing 于 2011-8-4 19:45 编辑

对于系统至关重要的系统日志,如果我们不善于利用就难以摸到系统的命脉。以下介绍了一些系统事件日志方面的命令,具体的使用方法和案例将在后面补上。
      在“事件查看器”当中的系统日志中包含了windows XP 系统组建记录的事件,在启动过程中加载驱动程序和其他一些系统组建的成功与否都记录在系统日志当中。Windows日志文件记录着Windows系统运行的每一个细节, 对Windows的稳定运行起着至关重要的作用。通过查看服务器中的Windows日志,管理员可以及时找出服务器出现故障的原因。
      事实上,利用Windows内置的事件查看器,加上适当的网络资源,就可以很好地解决大部分的系统问题。 事件查看器可以完成许多工作,比如审核系统事件和存放系统、安全及应用程序日志等。
-----------------------------------------------------------------------------------------------------------------
eventvwr                 打开事件查看器
eventquery                   脚本允许管理员从一个或多个事件日志中列表事件和事件属性。
eventtriggers             此命令行工具允许管理员在本地或远程系统上显示并配置“事件触发器”。
eventcreate                   该命令行工具使管理员能够创建一个自定义事件 ID 和消息于某指定事件日志里。
WMIC  NTEVENT                  - NT 事件日志的项目
WMIC  NTEVENTLOG               - NT 时间日志文件管理。

微软知识库:http://support.microsoft. com
Eventid. net网站:http://www.eventid. net
-----------------------------------------------------------------------------------------------------------------

一、EVENTQUERY
EVENTQUERY.vbs [/S system [/U username [/P password]]] [/FI filter]
                          [/FO format] [/R range] [/NH] [/V] [/L logname | *]
描述:
    EventQuery.vbs 脚本允许管理员从一个或多个事件日志中列表事件和事件属性。
参数列表:
    /S     system          指定要连接到的远程系统。
    /U     [domain\]user   指定用户上下文,命令将在该上下文中执行。
    /P     password        为给定的用户上下文指定密码。
    /V                     指定详细信息应该在输出中显示。
    /FI    filter          指定要筛选入或筛选出队列的事件的类别。
    /FO    format          指定输出显示的格式。有效的格式为 "TABLE","LIST","CSV"。
    /R    range           指定要列表的事件范围。有效值为:——N是序号,所有事件按照事件排列后需要提取的序号范围。
                               'N' - 列出 'N' 最新的事件。——我的刚好相反,n是最早的。
                              '-N' - 列出 'N' 最旧的事件。——我的刚好相反,-n是最近的。
                               'N1-N2' - 列出事件 N1 到 N2。
    /NH                    指出 "列标题" 在输出中不应该显示。只对 "TABLE" 和 "CSV" 格式有效。
    /L     logname         指定要查询的日志。——系统日志包括三部分:security、application、system
    /L                     显示帮助/用法。
    有效筛选器      允许的操作          有效的值
    -------------   ------------------  ------------
    DATETIME   日期时间    eq,ne,ge,le,gt,lt   mm/dd/yy(yyyy),hh:mm:ssAM(/PM)
    TYPE     类型      eq,ne               ERROR, INFORMATION, WARNING,SUCCESSAUDIT, FAILUREAUDIT
    ID       标示ID      eq,ne,ge,le,gt,lt   non-negative integer
    USER      用户     eq,ne               string
    COMPUTER   计算机名    eq,ne               string
    SOURCE     来源    eq,ne               string
    CATEGORY    类型   eq,ne               string
NOTE: Filter "DATETIME" can be specified as "FromDate-ToDate" 此格式只可以使用 "eq" 操作符。
指定筛选器Datetime。开始的月/日/年,时:分:秒上午-到达的月/日/年,时:分:秒下午
示例:
    EventQuery.vbs
    EVENTQUERY.vbs /L system
    EVENTQUERY.vbs /S system /U user /P password /V /L *
    EVENTQUERY.vbs /R 10 /L Application /NH
    EVENTQUERY.vbs /R -10 /FO LIST /L Security
    EVENTQUERY.vbs /R 5-10 /L "DNS Server"
    EVENTQUERY.vbs /FI "Type eq Error" /L Application
    EVENTQUERY.vbs /L Application /FI "Datetime eq 07/01/11,03:15:00AM-07/31/11,03:15:00PM"
    EVENTQUERY.vbs /FI "Datetime gt 08/03/00,06:20:00PM"  /FI "Id gt 700" /FI "Type eq warning" /L System
    EVENTQUERY.vbs /FI "Type eq error OR Id gt 1000 "


二、EVENTTRIGGERS
EVENTTRIGGERS /parameter [arguments]
描述:
    此命令行工具允许管理员在本地或远程系统上显示并配置“事件触发器”。
参数列表:
    /Create     创建一个新的事件触发器,它将监视并根据按照给定条件发生的 NT 日志事件进行操作。
    /Delete     按 ID 删除事件触发器。
    /Query      查询并显示事件触发器的属性和设置。
    /?          显示帮助/用法。
示例:
    EVENTTRIGGERS /Create /?
    EVENTTRIGGERS /Delete /?
    EVENTTRIGGERS /Query  /?

三、EVENTCREATE
EVENTCREATE [/S system [/U username [/P [password]]]] /ID eventid
            [/L logname] [/SO srcname] /T type /D description
描述:
    该命令行工具使管理员能够创建一个自定义事件 ID 和消息于某指定事件日志里。
参数列表:
    /S    system           指定要连接到的远程系统。
    /U    [domain\]user    指定用户上下文,命令在此上下文中执行。
    /P    [password]       指定给定用户上下文的密码。如果省略则提示输入。
    /L    logname          指定要在其中创建事件事件日志。
    /T    type             指定要创建的事件类型。有效的类型是: ERROR,WARNING, INFORMATION。
    /SO   source           为此事件指定要使用的资源。有效资源可以是任何字符串并应该代表应用程序或生成事件的组件。
    /ID   id               指定事件的 ID。有效的自定义消息 ID 在范围1 - 1000 以内。
    /D    description      为新创建的事件指定描述。
    /?                     显示帮助/用法。

示例:
    EVENTCREATE /T ERROR /ID 100
        /L APPLICATION /D "在应用程序中创建事件日志"
    EVENTCREATE /T ERROR /ID 999 /L APPLICATION
        /SO WinWord /D "在应用程序日志中新建源 Winword"
    EVENTCREATE /S system /T ERROR /ID 100
        /L APPLICATION /D "没有用户凭据的远程机器"
    EVENTCREATE /S system /U user /P password /ID 100 /T ERROR
        /L APPLICATION /D "有用户凭据的远程机器"
    EVENTCREATE /S system /U domain\user /ID 100 /T WARNING
        /SO MyBatchFile.cmd /D "维护脚本用户登录失败"

四、wmic  ntevent、wmic  nteventlog

(略)请自己输入“wmic ntevent /?”或“wmic  nteventlog /?”查询
作者: CUer    时间: 2011-8-4 19:27

Vista和Win7跟XP不同,没有EVENTQUERY.vbs,需要用wmic。
作者: cjiabing    时间: 2011-8-4 20:52

回复 2# CUer


    哦,怪不得见论坛里相关内容都是wmic的!~
作者: lxzzr    时间: 2011-8-5 02:00

win7下还有其它的命令,不一定要WMI,如:wevtutil.exe qe Application /c:3 /rd:true /f:text




欢迎光临 批处理之家 (http://bbs.bathome.net/) Powered by Discuz! 7.2