Использование WEVTUTIL для управления журналами событий
Наконец настало время, когда Microsoft потратила время и энергию, чтобы предоставить всем нам полезное средство просмотра событий. Windows Vista и Windows Server 2008 поставляются с обновленным средством просмотра событий, а также некоторыми дополнительными инструментами, которые действительно упрощают использование средства просмотра событий. В дополнение к новой опции подписки, которой теперь обладает Event Viewer, появилась новая утилита командной строки WEVTUTIL, которая позволяет вам контролировать почти все аспекты журналов Event Viewer.
Команда и синтаксис WEVTUTIL
Команда WEVTUTIL обладает огромной мощью, и параметры и переключатели тому подтверждение. Поскольку команда WEVTUTIL может управлять почти всеми аспектами средства просмотра событий и журналов, для управления этими деталями должно быть много параметров и переключателей.
Основная структура синтаксиса WEVTUTIL следующая:
wevtutil [{эл | перечисление-журналы}] [{gl | get-log} <Имя журнала> [/f:<Формат>]] [{сл | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<Размер>] [/l:<Уровень>] [/k:<Ключевые слова>] [/ca:<Канал>] [/c:<Конфигурация>]] [{эп | перечисление-издателей}] [{гп | get-publisher} <имя издателя> [/ge:<метаданные>] [/gm:<сообщение>] [/f:<формат>]] [{im | install-manifest} <Манифест>] [{гм | uninstall-manifest} <Манифест>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Направление>] [/f:<Формат>] [/l:<Язык>] [/c:<Количество>] [/e:<Элемент>]] [{гли | get-loginfo} <имя журнала> [/lf:<файл журнала>]] [{Эпл | export-log} <Путь> <Файл экспорта> [/lf:<Файл журнала>] [/sq:<Запрос структуры>] [/q:<Запрос>] [/ow:<Перезаписать>]] [{аль | архив-журнал} <Путь к журналу> [/l:<Язык>]] [{кл | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/ уни:<Юникод>] |
Как и в любой команде, в параметрах есть некоторые переключатели, которые являются обязательными, а другие необязательными. Синтаксис также чрезвычайно важен, так как для некоторых ссылок требуется двоеточие (:), для других используется пробел между переключателем и путем, а для третьих нужны кавычки (""). В следующей таблице описывается каждый параметр и приводится синтаксис для дополнительных переключателей. Вы можете получить более подробное представление и описание параметров и опций на странице Microsoft TechNet Wevtutil.
Параметр | Описание |
{эль | enum-журналы} | Отображает имена всех журналов, включая все новые журналы Windows с их синтаксисом. |
{гл | get-log} <Имя журнала> [/f:<Формат>] | Позволяет указать журнал, который затем будет отображать состояние журнала. Статус и информация будут включать в себя, включен или отключен журнал, пределы размера журнала и путь к месту хранения журнала. |
{сл | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<Размер>] [/l:<Уровень>] [/k:<Ключевые слова>] [/ca:<Канал>] [/c:<Конфигурация>] | Позволяет изменять подробные конфигурации указанного вами журнала. |
{эп | enum-издатели} | Отображает издателей событий на локальном компьютере. Издатели событий — это программные компоненты, которые могут генерировать события и затем доставлять их в средство просмотра событий. |
{гп | get-publisher} <имя издателя> [/ge:<метаданные>] [/gm:<сообщение>] [/f:<формат>]] | Позволяет указать издателя событий, который затем будет отображать информацию о конфигурации для этого издателя. |
{кэ | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Направление>] [/f:<Формат>] [/l:<Язык>] [/c:<Количество>] [/e:<Элемент>] | Это позволяет вам получать события для указанного журнала. Журнал может быть либо из средства просмотра событий, файла журнала, либо с использованием структурированного запроса. В большинстве случаев вы просто вводите имя журнала для <Path>. Если вы используете параметр /lf, вам нужно будет ввести путь к файлу журнала, который вы хотите прочитать. Чтобы использовать структурированный запрос, необходимо использовать параметр /sq вместе с путем к структурированному запросу. |
{гли | get-loginfo} <имя журнала> [/lf:<файл журнала>] | Позволяет собирать информацию о журнале событий или файле журнала. Это хорошо, чтобы увидеть общую информацию для журнала. |
{Эпл | export-log} <Путь> <Файл экспорта> [/lf:<Файл журнала>] [/sq:<Запрос структуры>] [/q:<Запрос>] [/ow:<Перезаписать>] | Позволяет экспортировать события в файл. Вы можете экспортировать данные из журнала в средстве просмотра событий, из файла журнала или с помощью структурированного запроса. Экспортирует события из журнала событий, из файла журнала или с помощью структурированного запроса в указанный файл. В большинстве случаев вы просто вводите имя журнала для <Path>. Если вы используете параметр /lf, вам нужно будет ввести путь к файлу журнала, который вы хотите прочитать. Чтобы использовать структурированный запрос, необходимо использовать параметр /sq вместе с путем к структурированному запросу. <Exportfile> — это путь к файлу, в котором вы хотите сохранить экспортированные события. |
{ал | архивный журнал} <Путь к журналу> [/l:<Язык>] | Позволяет архивировать указанный журнал. Расположением архива будет подкаталог со всей информацией, хранящейся в подкаталоге. |
{кл | clear-log} <Имя журнала> [/bu:<Резервная копия>] | Позволяет очистить указанные вами события из журнала. Если вы хотите выполнить резервное копирование удаленных событий, вы можете использовать параметр /bu. |
Таблица 1
Полезные примеры использования WEVTUTIL
С таким количеством новых журналов и издателей в Windows Vista и Windows Server 2008 приятно осознавать, что вам не нужно запоминать их все. Конечно, вы всегда можете заглянуть в средство просмотра событий, чтобы увидеть все списки. Проблема с этим вариантом заключается в том, что вы не всегда знаете синтаксис журнала или издателя, на котором хотите сосредоточиться. Вместо этого вы можете использовать одну из следующих команд, чтобы получить список всех журналов и издателей.
Пример 1. На рис. 1 показано, как получить полный список всех журналов событий с локального компьютера.
Рисунок 1: Используя параметр el, вы получите полный список журналов событий на локальном компьютере.
Пример 2. На рис. 2 показано, как получить полный список всех издателей событий с локального компьютера.
Рисунок 2. Использование параметра ep позволяет получить полный список издателей событий на локальном компьютере.
Пример 3. На рис. 3 показано, как получить информацию об одном журнале событий.
Рисунок 3: Использование параметра gl и имени журнала событий отобразит информацию об этом журнале.
Пример 4. На рис. 4 показано, как можно экспортировать события из журнала просмотра событий в файл для целей архивирования или хранения.
Рисунок 4: Использование параметра epl позволяет экспортировать журнал событий в файл
Пример 5. На рис. 5 показано, как можно очистить журнал в сочетании с созданием резервной копии журнала перед его очисткой.
Рисунок 5: Использование параметра cl в сочетании с переключателем /bu:<path> создаст резервную копию журнала, а затем очистит его
Резюме
Как видите, управление журналами событий намного лучше с WEVTUTIL. Этот инструмент входит в состав Windows Vista и Windows Server 2008 и позволяет контролировать почти каждый аспект создаваемых журналов. Windows Vista и Windows Server 2008 поставляются с новым полным набором журналов, которые вы можете использовать, и теперь с помощью этой утилиты командной строки вы можете лучше управлять ими. Вы также можете управлять журналами и архивировать журналы с помощью команды WEVTUTIL либо с помощью VBScript, либо в сочетании с вашим любимым инструментом для создания сценариев. Если вы используете PowerShell, вы также можете управлять WEVTUTIL с помощью этого интерфейса.