|
- 帖子
- 1726
- 积分
- 4476
- 技术
- 95
- 捐助
- 0
- 注册时间
- 2008-12-21
|
[原创] 系统事件日志命令:eventquery、eventtriggers、eventcreate
本帖最后由 cjiabing 于 2011-8-4 19:45 编辑
对于系统至关重要的系统日志,如果我们不善于利用就难以摸到系统的命脉。以下介绍了一些系统事件日志方面的命令,具体的使用方法和案例将在后面补上。
在“事件查看器”当中的系统日志中包含了windows XP 系统组建记录的事件,在启动过程中加载驱动程序和其他一些系统组建的成功与否都记录在系统日志当中。Windows日志文件记录着Windows系统运行的每一个细节, 对Windows的稳定运行起着至关重要的作用。通过查看服务器中的Windows日志,管理员可以及时找出服务器出现故障的原因。
事实上,利用Windows内置的事件查看器,加上适当的网络资源,就可以很好地解决大部分的系统问题。 事件查看器可以完成许多工作,比如审核系统事件和存放系统、安全及应用程序日志等。
-----------------------------------------------------------------------------------------------------------------
eventvwr 打开事件查看器
eventquery 脚本允许管理员从一个或多个事件日志中列表事件和事件属性。
eventtriggers 此命令行工具允许管理员在本地或远程系统上显示并配置“事件触发器”。
eventcreate 该命令行工具使管理员能够创建一个自定义事件 ID 和消息于某指定事件日志里。
WMIC NTEVENT - NT 事件日志的项目
WMIC NTEVENTLOG - NT 时间日志文件管理。
微软知识库:http://support.microsoft. com
Eventid. net网站:http://www.eventid. net
-----------------------------------------------------------------------------------------------------------------
一、EVENTQUERY
EVENTQUERY.vbs [/S system [/U username [/P password]]] [/FI filter]
[/FO format] [/R range] [/NH] [/V] [/L logname | *]
描述:
EventQuery.vbs 脚本允许管理员从一个或多个事件日志中列表事件和事件属性。
参数列表:
/S system 指定要连接到的远程系统。
/U [domain\]user 指定用户上下文,命令将在该上下文中执行。
/P password 为给定的用户上下文指定密码。
/V 指定详细信息应该在输出中显示。
/FI filter 指定要筛选入或筛选出队列的事件的类别。
/FO format 指定输出显示的格式。有效的格式为 "TABLE","LIST","CSV"。
/R range 指定要列表的事件范围。有效值为:——N是序号,所有事件按照事件排列后需要提取的序号范围。
'N' - 列出 'N' 最新的事件。——我的刚好相反,n是最早的。
'-N' - 列出 'N' 最旧的事件。——我的刚好相反,-n是最近的。
'N1-N2' - 列出事件 N1 到 N2。
/NH 指出 "列标题" 在输出中不应该显示。只对 "TABLE" 和 "CSV" 格式有效。
/L logname 指定要查询的日志。——系统日志包括三部分:security、application、system
/L 显示帮助/用法。
有效筛选器 允许的操作 有效的值
------------- ------------------ ------------
DATETIME 日期时间 eq,ne,ge,le,gt,lt mm/dd/yy(yyyy),hh:mm:ssAM(/PM)
TYPE 类型 eq,ne ERROR, INFORMATION, WARNING,SUCCESSAUDIT, FAILUREAUDIT
ID 标示ID eq,ne,ge,le,gt,lt non-negative integer
USER 用户 eq,ne string
COMPUTER 计算机名 eq,ne string
SOURCE 来源 eq,ne string
CATEGORY 类型 eq,ne string
NOTE: Filter "DATETIME" can be specified as "FromDate-ToDate" 此格式只可以使用 "eq" 操作符。
指定筛选器Datetime。开始的月/日/年,时:分:秒上午-到达的月/日/年,时:分:秒下午
示例:
EventQuery.vbs
EVENTQUERY.vbs /L system
EVENTQUERY.vbs /S system /U user /P password /V /L *
EVENTQUERY.vbs /R 10 /L Application /NH
EVENTQUERY.vbs /R -10 /FO LIST /L Security
EVENTQUERY.vbs /R 5-10 /L "DNS Server"
EVENTQUERY.vbs /FI "Type eq Error" /L Application
EVENTQUERY.vbs /L Application /FI "Datetime eq 07/01/11,03:15:00AM-07/31/11,03:15:00PM"
EVENTQUERY.vbs /FI "Datetime gt 08/03/00,06:20:00PM" /FI "Id gt 700" /FI "Type eq warning" /L System
EVENTQUERY.vbs /FI "Type eq error OR Id gt 1000 "
二、EVENTTRIGGERS
EVENTTRIGGERS /parameter [arguments]
描述:
此命令行工具允许管理员在本地或远程系统上显示并配置“事件触发器”。
参数列表:
/Create 创建一个新的事件触发器,它将监视并根据按照给定条件发生的 NT 日志事件进行操作。
/Delete 按 ID 删除事件触发器。
/Query 查询并显示事件触发器的属性和设置。
/? 显示帮助/用法。
示例:
EVENTTRIGGERS /Create /?
EVENTTRIGGERS /Delete /?
EVENTTRIGGERS /Query /?
三、EVENTCREATE
EVENTCREATE [/S system [/U username [/P [password]]]] /ID eventid
[/L logname] [/SO srcname] /T type /D description
描述:
该命令行工具使管理员能够创建一个自定义事件 ID 和消息于某指定事件日志里。
参数列表:
/S system 指定要连接到的远程系统。
/U [domain\]user 指定用户上下文,命令在此上下文中执行。
/P [password] 指定给定用户上下文的密码。如果省略则提示输入。
/L logname 指定要在其中创建事件事件日志。
/T type 指定要创建的事件类型。有效的类型是: ERROR,WARNING, INFORMATION。
/SO source 为此事件指定要使用的资源。有效资源可以是任何字符串并应该代表应用程序或生成事件的组件。
/ID id 指定事件的 ID。有效的自定义消息 ID 在范围1 - 1000 以内。
/D description 为新创建的事件指定描述。
/? 显示帮助/用法。
示例:
EVENTCREATE /T ERROR /ID 100
/L APPLICATION /D "在应用程序中创建事件日志"
EVENTCREATE /T ERROR /ID 999 /L APPLICATION
/SO WinWord /D "在应用程序日志中新建源 Winword"
EVENTCREATE /S system /T ERROR /ID 100
/L APPLICATION /D "没有用户凭据的远程机器"
EVENTCREATE /S system /U user /P password /ID 100 /T ERROR
/L APPLICATION /D "有用户凭据的远程机器"
EVENTCREATE /S system /U domain\user /ID 100 /T WARNING
/SO MyBatchFile.cmd /D "维护脚本用户登录失败"
四、wmic ntevent、wmic nteventlog
(略)请自己输入“wmic ntevent /?”或“wmic nteventlog /?”查询 |
|
发表于 2011-8-4 18:56
| 
发表于 2011-8-5 02:00
|