Просмотр и фильтрация журналов событий Windows
Средство управления событиями называется Event Viewer (Просмотр событий). Для его запуска наберите в командной строке eventvwr для просмотра событий на локальном компьютере или eventvwr /computer-ИмяКомпьютера, где Имя Компьютера — имя удаленного компьютера, чьи события вы хотите проанализировать.
Как и большинство GUI-средств, Event Viewer прост в обращении и полезен для определенных задач управления. Например, он используется для управления размером журналов событий, способами обработки протоколирования, а также архивированием журналов событий. Эти действия нельзя выполнить из командной строки.
Однако Event Viewer плохо умеет фильтровать события и работать с журналами на удаленных компьютерах. Конечно, для этих задач можно применять и Event Viewer, но существуют другие, более подходящие для этих задач утилиты, в том числе следующие.
- Eventquery — просматривает журналы событий и отбирает записи, удовлетворяющие определенным требованиям. В сценарии Eventquery позволяет анализировать события на множестве систем и сохранять результаты в файле, облегчая поиск информации, а т ошибок и предупреждений во всей сети.
- Eventcreate — создает пользовательские события в журналах. При запуске собственных сценариев по расписанию или при плановом обслуживании вам может потребоваться регистрация какого-либо действия в журналах, и в этом поможет Eventcreate.
- Eventtriggers — следит за определенными событиями в журналах и при их возникновении реагирует запуском заданий или команд. Используя триггеры событий, можно настроить систему на самонаблюдение. Триггеры событий похожи на задания, запускаемые по расписанию, с тем исключением, что они выполняются при возникновении событий, а не периодически или однократно.
Просмотр событий Windows и формат вывода
Базовый синтаксис Eventquery таков:
- eventquery "ИмяЖурнала"
где ИмяЖурнала — название требуемого журнала, например "Application", "System" или "Directory Services".
По умолчанию Eventquery выполняется на локальном компьютере с разрешениями зарегистрированного пользователя. При необходимости вы можете указать удаленной компьютер, события которого вы собираетесь запрашивать, а также разрешения Run As (Запустить от имени). Для этого применяется расширенный синтаксис, содержащий следующие параметры:
- /s Компьютер /u [Домен\]Пользователь [/р Пароль]