Pada artikel ini saya akan berbicara tentang kemampuan untuk melihat log peristiwa dari baris perintah. Anda dapat menggunakan fitur-fitur ini saat menghubungkan melalui baris perintah atau dalam skrip Anda..
Untuk melihat dan mempelajari Acara Windows di komputer lokal, Anda dapat menggunakan utilitas baris perintah Wevtutil.
Utilitas dapat bermanfaat jika Anda mengontrol komputer yang menjalankan Windows 2008 dan peran Server Core dari baris perintah. Ini juga dapat berguna jika Anda ingin menggunakan skrip konfigurasi log peristiwa atau mengekspor log untuk keperluan arsip. Berikut adalah beberapa hal yang dapat Anda lakukan dengan Wevtutil:
Untuk mendapatkan daftar nama semua log peristiwa dalam sistem, gunakan el (enum-log) dengan Wevtutil sebagai berikut:
wevtutil el
Anda dapat melihat konfigurasi log peristiwa, seperti ukuran maksimum file log, menggunakan parameter gl (get-log). Misalnya, untuk melihat konfigurasi log aplikasi, ikuti langkah-langkah ini:
wevtutil gl Aplikasi
Di bawah ini adalah output dari program ini:
nama: Aplikasi
diaktifkan: benar
ketik: admin
memilikiPenerbit:
isolasi: Aplikasi
channelAccess: O: BAG: SYD: (A ;; 0xf0007 ;;; SY) (A;; 0x7 ;;; BA) (A;; 0x7 ;;; SO) (A;; 0x3; ;; IU) (A ;; 0x3 ;;; SU) (A ;; 0x3 ;;; S-1-5-3) (A;; 0x3 ;;; S-1-5-33) (A;; 0x1 ;;; S- 1-5-32-573)
logging:
logFileName:% SystemRoot% \ System32 \ Winevt \ Logs \ Application.evtx
retensi: salah
autoBackup: false
maxSize: 20971520
penerbitan:
Anda dapat mengubah konfigurasi file log. Misalnya, untuk meningkatkan ukuran maksimum log aplikasi hingga 100 megabita (MB) dan memungkinkan rotasi log untuk mengosongkan ruang untuk acara baru saat log penuh, dan secara otomatis mencadangkan log saat sudah penuh, masukkan:
wevtutil sl Aplikasi / ms: 104857600 / rt: true / ab: true
Anda dapat memfilter log peristiwa berdasarkan peristiwa tertentu atau berdasarkan jenis peristiwa menggunakan parameter qe (peristiwa-kueri). Sebagai contoh, untuk menampilkan dua peristiwa terakhir dalam log sistem dalam teks biasa, gunakan opsi / rd, dan untuk mengatur arah keluaran gunakan atribut True (yaitu, peristiwa paling baru yang dikembalikan terlebih dahulu) gunakan perintah berikut:
wevtutil qe Sistem / c: 2 / rd: true / f: teks wevtutil
Untuk melihat peristiwa kritis terbaru (level = 1) atau kesalahan (level = 2) di log Penjadwal Tugas, gunakan opsi / q sebagai berikut:
wevtutil qe Microsoft-Windows-TaskScheduler / Operasional “/ q: * [Sistem [(Level = 1 atau Level = 2)]]” / c: 1 / rd: true / f: text
Ini adalah gambaran singkat dari utilitas Wevtutil, untuk rincian lebih lanjut tentang hal itu dapat ditemukan di sini http://technet.microsoft.com/en-us/library/cc732848%28WS.10%29.aspx. Saya harap artikel ini bermanfaat..
