Наконец-то наступил момент, когда компания Microsoft затратила время и энергию для предоставления нам полезного вьювера Event Viewer. Windows Vista и Windows Server 2008 идут с исправленным Event Viewer, а также некоторыми дополнительными инструментами, которые делают использование Event Viewer чем-то таким, чем легко управлять. Вдобавок к новым опциям подписки, которыми теперь обладает Event Viewer, появилась утилита командной строки, WEVTUTIL, позволяющая контролировать практически каждый аспект журналов Event Viewer.
Команда WEVTUTIL имеет огромный потенциал мощности, а ее параметры и переключатели являются прямым тому доказательством. Поскольку команда WEVTUTIL может контролировать практически каждый аспект Event Viewer и журналов регистрации событий, для контроля этих деталей должно быть множество параметров и переключателей.
Основная структура синтаксиса для WEVTUTIL представлена ниже:
|
Как и в любой другой команде и параметрах, существуют обязательные и необязательные переключатели. Синтаксис тоже крайне важен, поскольку некоторые ссылки требуют двоеточия (:), другие используют пробел между переключателями и путями, третьи используют кавычки (‘ ‘). В следующей таблице даны описания каждого параметра и синтаксиса для необязательных переключателей. Вы можете получить более подробный обзор и описание параметров и опций на сайте компании Microsoft на странице TechNet Wevtutil.
| Параметр | Описание |
|---|---|
| {el | enum-logs} | Отображает имена все журналов, включая новые журналы Windows с их синтаксисом. |
| {gl | get-log} <Logname> [/f:<Format>] | Позволяет вам указывать журнал, статус которого будет отображен. Статус и информация будет включать данные о том, включен или выключен журнал, ограничения его размеров и путь к месту хранения журнала. |
| {sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<Size>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>] | Позволяет вам модифицировать детальную конфигурацию журнала, который вы указали. |
| {ep | enum-publishers} | Отображает сервер публикаций событий на локальном компьютере. Серверы публикации событий – это компоненты ПО, которые генерируют события, а затем предоставляют их вьюверу Event Viewer. |
| {gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] | Позволяет вам указывать сервер публикации, информация о конфигурации которого затем будет отображена. |
| {qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>] | Позволяет вам получать события для определенных журналов. Журнал может быть получен из вьювера, файла журнала, или используя структурный запрос. В большинстве случаев вы просто вводите имя журнала для <Path>. Если вы используете /lf опцию, тогда вам нужно указать путь к файлу журнала, который вы хотите прочесть. Чтобы использовать структурный запрос (structured query), вы должны использовать параметр /sq помимо указания пути структурному запросу. |
| {gli | get-loginfo} <Logname> [/lf:<Logfile>] | Позволяет вам собирать информацию о журнале событий и файле журнала. Очень полезно увидеть полную информацию о журнале. |
| {epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>] | Позволяет вам экспортировать события в файл. Вы можете экспортировать информацию журнала из Event Viewer, файла журнала или используя структурный запрос. В большинстве случаев вы просто вводите имя для <Path>. Если вы используете опцию /lf, тогда вам нужно указать путь к файлу журнала, который вы хотите прочитать. Чтобы использовать структурный запрос, вы должны использовать параметр /sq помимо указания пути структурному запросу. <Exportfile> — это путь к файлу, в который вы хотите экспортировать события для хранения. |
| {al | archive-log} <Logpath> [/l:<Locale>] | Позволяет вам архивировать журнал, который вы указываете. Местом расположения архива будет подкаталог со всей информацией, хранящейся в подкаталоге. |
| {cl | clear-log} <Logname> [/bu:<Backup>] | Позволяет вам удалять события из указанного журнала. Если вы хотите создать резервную копию удаляемых событий, то можете использовать /bu опцию. |
С таким количеством новых журналов и средств публикации в Windows Vista и Windows Server 2008 приятно осознавать тот факт, что вам нет необходимости запоминать их все. Конечно, вы всегда можете заглянуть в Event Viewer, чтобы просмотреть полный список. Проблема этой опции заключается в том, что вы не всегда знаете синтаксис для интересующего вас журнала или средства публикации. Вместо этого вы можете использовать следующие команды для получения полного списка всех журналов и средств публикации.
Пример 1: на рисунке 1 показано, как получать полный список всех журналов событий на вашем локальном компьютере.
Рисунок 1: Использование параметра el для получения полного списка журналов событий на локальном компьютере
Пример 2: на рисунке 2 показано, как получать список всех средств публикации событий на локальном компьютере.
Рисунок 2: Использование параметра ep для получения полного списка средств публикации на локальном компьютере
Пример 3: на рисунке 3 показано, как получать информацию об отдельном журнале событий.
Рисунок 3: Использование параметра gl и имени журнала для получения информации об этом журнале
Пример 4: на рисунке 4 показано, как можно экспортировать информацию о событиях из журнала событий event viewer в архивный файл или с целью сохранения.
Рисунок 4: Использование параметра epl для экспортирования журнала событий в файл
Пример 5: на рисунке 5 показано, как можно очищать журнал событий, а также создавать резервную копию журнала, прежде чем он будет очищен.
Рисунок 5: Использование параметра cl в комбинации с /bu:<path> переключателем для создания резервной копии и отчистки журнала
Как вы видите, контроль, который можно получить над журналами событий с помощью WEVTUTIL гораздо лучше. Этот инструмент идет в комплекте с Windows Vista и Windows Server 2008, позволяя контролировать практически каждый аспект генерируемых журналов событий. Windows Vista и Windows Server 2008 идут с новым спектром журналов событий, которые можно использовать, а теперь с этой утилитой командной строки, вы можете гораздо эффективнее управлять ими. Вы также можете управлять и архивировать журналы, используя команду WEVTUTIL, либо с помощью сценариев VBScript, либо совместно со своим любимым инструментом для сценариев. Если вы используете PowerShell, вы можете управлять WEVTUTIL с помощью ее интерфейса.
www.windowsecurity.com
Tags: Windows Vista