Создание собственных событий Windows в журнале

При работе с автоматизированными сценариями, заданиями но расписанию или собственными приложениями вам может по­требоваться, чтобы они записывали собственные события в журналы Windows. Например, при нормальном выполнении сценария вы хотите записать событие уведомления в журнал приложе­ния, чтобы в дальнейшем легко определить, выполнен сцена­рий и нормально ли он завершился. И наоборот, если сцена­рий не сработал и в результате его выполнения возникли ошибки, вам может понадобиться сохранить событие ошибки или предупреждения в журнале — тогда вы узнаете, что нуж­но проанализировать сценарий и выяснить, что случилось.

Для создания собственных событий используется утилита Eventcreate. Собственные события можно сохранять в любом доступном журнале за исключением журнала безопасности. Такие события могут содержать источник, код и нужное опи­сание. Синтаксис Eventcreate:

eventcreate /l ИмяЖурнала /so ИсточникСобытия /t ТипСобытия / id КодСобытия /d ОписаниеСобытия

1. ИмяЖурнала — название журнала для записи события; если оно содержит пробелы, заключите его в кавычки, на­пример "DNS Server".
2. ИсточникСобытия — указывает источник события и может быть любой строкой. Если строка содержит пробелы, зак­лючите ее в кавычки, например «Event Tracker*. В боль­шинстве случаев источник указывает на приложение, зада­ние или сценарий, вызвавший ошибку.
3. ТипСобытия — задает тип события. Может принимать зна­чения Information, Warning или Error. Типы событий "Success Audit" и "Failure Audit" неприменимы, так как исполь­зуются в журнале безопасности, в который записывать соб­ственные события нельзя.
4. КодСобытия — залает числовой код события. Может при­нимать любое значение от 1 до 1000. Чем случайно назна­чать идентификаторы, лучше составить список общих собы­тий, которые могут возникнуть, а затем разбить его на кате­гории. Тогда каждой категории можно присвоить свой диа­пазон кодов событий. Например, события из первой сотни могут быть общими, из второй — событиями состояния, из пятой — предупреждениями, а из девятой — ошибками.
5. ОписаниеСобытия — задает описание события и может быть любой строкой. Не забудьте заключить строку в кавычки.

Применение Eventcreate на нескольких примерах

• Создать событие-уведомление в журнале приложения с источником Event Tracker и кодом события 209: eventcreate /l "application" /t information /so "Event Tracker" /id 209 /d "evs.bat script ran without errors."
• Создать событие-предупреждение в системном журнале с источником CustApp и кодом события 511: eventcreate /l "system" /t warning /so "CustApp" /id 511 /d "sysck.exe didn't complete successfully."
• Создать событие-ошибку в системном журнале на MAIL с источником SysMon и кодом события 918: eventcreate /s Mail /l "system" /t error /so "SysMon" /id 918 /d "sysmon.exe was unable to verify write operation."