Eventquery.vbs
Вывод списка событий и их свойств из одного или нескольких журналов событий.
Синтаксис
eventquery[.vbs]
[/s компьютер [/u домен\пользователь [
/p пароль]]] [/fi имя_фильтра]
[/fo {TABLE|LIST|CSV}]
[/r диапазон_событий[/nh] [/v]
[/l [APPLICATION] [SYSTEM] [SECURITY] [
"DNS server"] [заданный_пользователем_журнал]
[имя_журнала_каталога] [
*] ]
Параметры
- /sкомпьютер
- Задание имени или IP-адреса удаленного компьютера (не используйте обратную косую черту). По умолчанию используется локальный компьютер.
- /uдомен\пользователь
- Выполнение сценария с разрешениями учетной записи пользователя, заданного в параметре пользовательили домен\пользователь. По умолчанию используются разрешения текущего вошедшего пользователя компьютера, с которого поступила эта команда.
- /pпароль
- Указание пароля учетной записи пользователя, заданной параметром /u.
- /fiимя_фильтра
-
Задание типов событий, которые следует включить в запрос или исключить из него.
Чтобы найти события с каким-то значением, фильтры Typeи IDможно
использовать совместно в одной инструкции с помощью оператора or. Допустимыми
именами фильтров, операторами и значениями являются следующие.
Имя Оператор Значение Datetime eq, ne, ge, le, gt, lt мм/дд/гг(гггг), чч:мм:ссAM(/PM) Type eq, ne, or {ERROR|INFORMATION|WARNING| SUCCESSAUDIT|FAILUREAUDIT} ID eq, ne, or, ge, le, gt, lt Любое допустимое положительное число User eq, ne Любая допустимая строка Computer eq, ne Любая допустимая строка Source eq, ne Любая допустимая строка Category eq, ne Любая допустимая строка - /fo{TABLE|LIST|CSV}
- Задание формата выходных данных. Допустимые значения: table, listи csv.
- /rдиапазон_событий
-
Задание диапазона событий, включаемых в список.
Значение Описание N Включение в список последних событий, количество которых задается параметром N. -N Включение в список самых старых событий, количество которых задается параметром N. N1-N2 Включение в список событий с N1по N2. - /nh
- Запрещение вывода заголовков столбцов. Этот параметр является допустимым при задании форматов tableи csv.
- /v
- Задание отображения подробных сведений о событиях в выходных данных.
- /l[APPLICATION] [SYSTEM] [SECURITY] ["DNS server"] [заданный_пользователем_журнал] [имя_журнала_каталога] [*] ]
- Задание журналов для просмотра. Допустимые значения: Application, System, Security, "DNS server", заданный пользователем журнал и журнал каталога. Значение "DNS server"является допустимым только в том случае, если на компьютере, заданном параметром /s, запущена служба DNS. Чтобы задать несколько журналов для просмотра, повторно воспользуйтесь параметром /l. Допускается использование подстановочного знака (*), который указывается по умолчанию.
- /?
- Отображение справки в командной строке.
Примечания
- Чтобы выполнить данный сценарий, необходимо запустить CScript. Если программа
CScript не является используемым по умолчанию сервером сценариев Windows, введите
следующую команду:
cscript //h:cscript //s //nologo
Примеры
Далее приведены примеры использования команды eventquery:
eventquery /l system
eventquery /l mylog
eventquery /l application /l system
eventquery /s srvmain /u maindom\hiropln /p p@ssW23 /v /l *
eventquery /r 10 /l application /nh
eventquery /r -10 /fo LIST /l security
eventquery /r 5-10 /l "DNS server"
eventquery /fi "Type eq Error"
/l application
eventquery /fi "Datetime eq
06/25/00,03:15:00AM/06/25/00,03:15:00PM"
/l application
eventquery /fi "Datetime gt 08/03/00,06:20:00PM"
/fi "id gt 700" /fi "Type eq
warning" /l system
eventquery /fi "ID eq 1000 OR ID ge 4500"
eventquery /fi "Type eq error OR Type eq INFORMATION"
eventquery /fi "ID eq 250 OR Type eq ERROR"
Для вопросов, обсуждений, замечаний, предложений и т. п. можете использовать раздел форума этого сайта (требуется регистрация).
Новый раздел о средствах командной строки в рамках этого же проекта расположен здесь