Просмотр журналов событий Event Viewer

Просмотр и фильтрация журналов событий Windows

Средство управления событиями называется Event Viewer (Просмотр событий). Для его запуска наберите в ко­мандной строке eventvwr для просмотра событий на локаль­ном компьютере или eventvwr /computer-ИмяКомпьютера, где Имя Компьютера — имя удаленного компьютера, чьи собы­тия вы хотите проанализировать.

Как и большинство GUI-средств, Event Viewer прост в обращении и полезен для опре­деленных задач управления. Например, он используется для управления размером журналов событий, способами обработ­ки протоколирования, а также архивированием журналов со­бытий. Эти действия нельзя выполнить из командной строки.

Однако Event Viewer плохо умеет фильтровать события и работать с журналами на удаленных компьютерах. Конечно, для этих задач можно применять и Event Viewer, но существу­ют другие, более подходящие для этих задач утилиты, в том числе следующие.

  • Eventquery — просматривает журналы событий и отбира­ет записи, удовлетворяющие определенным требованиям. В сценарии Eventquery позволяет анализировать события на множестве систем и сохранять результаты в файле, об­легчая поиск информации, а т ошибок и предупреж­дений во всей сети.
  • Eventcreate — создает пользовательские события в журна­лах. При запуске собственных сценариев по расписанию или при плановом обслуживании вам может потребовать­ся регистрация какого-либо действия в журналах, и в этом поможет Eventcreate.
  • Eventtriggers — следит за определенными событиями в журналах и при их возникновении реагирует запуском за­даний или команд. Используя триггеры событий, можно на­строить систему на самонаблюдение. Триггеры событий по­хожи на задания, запускаемые по расписанию, с тем исклю­чением, что они выполняются при возникновении событий, а не периодически или однократно.

Просмотр событий Windows и формат вывода

Базовый синтаксис Eventquery таков:

  • eventquery "ИмяЖурнала"

где ИмяЖурнала — название требуемого журнала, например "Application", "System" или "Directory Services".

По умолчанию Eventquery выполняется на локальном ком­пьютере с разрешениями зарегистрированного пользователя. При необходимости вы можете указать удаленной компьютер, события которого вы собираетесь запрашивать, а также разре­шения Run As (Запустить от имени). Для этого применяется расширенный синтаксис, содержащий следующие параметры:

  • /s Компьютер /u [Домен\]Пользователь [/р Пароль]
2016  Командная строка Windows  
top Яндекс.Метрика