Jak používat nástroj Script Query událostí (Eventquery.pl) v systému Windows 2000

Překlady článku Překlady článku
ID článku: 317381 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek popisuje, jak používat nástroj Script Query událostí (Eventquery.pl soubor) zobrazit události z počítačů se systémem Microsoft Windows 2000 protokoly prohlížeče událostí.

Událost je jakékoli významný výskyt v systému nebo v programu, který vyžaduje upozornění uživatelů nebo vyžaduje, položka být provedena do protokolu. Události protokolu událostí služby záznamy do protokolů systému, zabezpečení a aplikace v prohlížeči událostí. Také jsou události zapisovány do adresářové služby a služba FRS přihlásí řadiče domény a protokolu serveru DNS na servery Domain Name System (DNS).

Pomocí prohlížeče událostí můžete získat informace o hardwaru, softwaru a systémových součástí a sledovat události zabezpečení v místním nebo vzdáleném počítači. Protokoly událostí mohou pomoci identifikovat a diagnostikovat zdroj aktuální systému problémy a předvídat možné problémy systému nápovědy.

Systémové požadavky pro Eventquery.pl

Nástroj Script Query událostí je k dispozici v Microsoft Windows 2000 Resource Kit Supplement 1. Tento nástroj skript spustí zdrojového počítače a funguje v cílovém počítači (které mohou být stejného počítače jako ve zdrojovém počítači). Než použijete tento nástroj dotaz protokoly událostí v místním nebo vzdáleném počítači musí být splněny následující požadavky:

Zdrojový počítač

  • Počítač se systémem Windows 2000 Professional nebo Windows 2000 Server.
  • ActiveState ActivePerl sestavit 521 nainstalována. Tento program je k dispozici ve Windows 2000 Resource Kit.

    Počítač musí také být správně nakonfigurován spustit skripty Perl, které jsou součástí systému Windows 2000 Resource Kit Supplement 1. Modul zprostředkovatele Resource Kit WMI Wmi.pm, musí být ve složce \Site\Lib\W2rk Perl Installation Folder. Resource Kit instalační program obvykle vytvoří složku W2rk a zkopíruje soubor Wmi.pm této složky.

    Instalace automaticky nevytvoří složku W2rk, můžete ručně vytvořit ji a nakonfigurujte prostředí, ve kterém chcete spustit Eventquery.p. Další informace o tomto postupu naleznete dále v tomto článku v části Troubleshooting.
  • Je nutné být přihlášen jako člen skupiny Administrators zobrazení protokolu událostí zabezpečení.

Cílový počítač

  • Počítač se systémem Windows 2000 Professional nebo Windows 2000 Server

Přehled Eventquery.pl

Eventquery.PL používá následující syntaxi:
EventLog-EVENTQUERY.PL [EventLog...] | * [-s Computer [-u Domain\User-p Password]] [- n rozsahu | -n | Begin-End] [- formátování tabulky | seznam | csv] [-v] [- filtrovat "FieldOperatorValue" [- filtrovat "FieldOperatorValue"...]]
Parametry lze použít s Eventquery.pl jsou následující:
  • EventLog[EventLog...] | *: pomocí tohoto parametru zadejte protokoly událostí, které chcete hledat. Pokud chcete hledat dvě nebo více protokolů událostí, oddělte každou protokolu mezerou. Pokud chcete hledat všechny protokoly událostí, použijte zástupný znak (*). Pokud název protokolu událostí obsahuje mezeru, uzavřete název uvozovek (").
  • -s Computer: pomocí tohoto parametru zadejte název nebo adresu IP vzdáleného počítače. Pokud tento parametr vynecháte, je určena místním počítači.
    • -u Domain\User: pomocí tohoto parametru zadejte uživatelský účet s kterým chcete spustit Eventquery.pl. Pokud tento parametr vynecháte, použije Eventquery.pl oprávnění aktuálně přihlášeného uživatele. Pokud použijete tento parametr, musíte použít také -p parametr poskytují heslo uživatele.
    • -p Password: pomocí tohoto parametru zadejte heslo uživatelského účtu, který je určen -u parametr. -P parametr je povinný, pokud použijete -u parametr.
    Poznámka: oba -p a -u parametry jsou k dispozici, pouze pokud používáte -s parametr.

  • -rozsah n | -n | Begin-End: pomocí tohoto parametru zadejte počet událostí, které se zobrazí z každého protokolu událostí. Pokud tento parametr vynecháte, zobrazí všechny události Eventquery.pl.
    • n: pomocí této proměnné určit nejnovější události n v každém protokolu se zobrazí v sestupném pořadí, kde n je celé číslo větší než 0 (nula).
    • -n: pomocí této proměnné zadejte poslední události n (nejstarší) v každé protokolu se zobrazí ve vzestupném pořadí, kde -n je celé číslo větší než 0 (nula).
    • Begin-End: pomocí této proměnné definovat rozsah událostí v každém protokolu kde Begin a End jsou celá čísla větší než 0 (nula).
  • -formátování tabulky | seznam | csv: pomocí tohoto parametru zadejte výstupní formát. Pokud tento parametr vynecháte, použije Eventquery.pl formátu tabulky.
  • -v: pomocí tohoto parametru přidejte částech popis události dat a zobrazení.
  • -filtrovat "FieldOperatorValue" [- filtrovat "FieldOperatorValue"...]: pomocí tohoto parametru zadejte kritéria pro události, které jsou zahrnuty v zobrazení. Pokud tento parametr vynecháte, zobrazí se všechny události. Použít samostatnou instanci - filtr "FieldOperatorValue" pro každé kritérium, které chcete určit a každý parametr oddělte mezerou.

    V následující tabulce jsou uvedeny operátory a hodnoty, které jsou k dispozici pro každé pole je použit s parametrem - filtrovat. Tabulka také obsahuje příklad každý "FieldOperatorValue":
Zmenšit tuto tabulkuRozšířit tuto tabulku
PoleOperátorValuePříklad
TYPE= !Chyba | Information | upozornění (protokoly systému a aplikace) | Úspěšný_audit nebo Neúspěšný_audit (protokol zabezpečení)"Typ = chyba"
DateTimeVšechny logické operátoryDate mm/dd/rr [rr] formátovat nebo Date: Time mm/dd/yy:hh [rr]: [mm: [ss [ss]]] formátu"datetime > 02/08/2002:11:59:59 PM"
Zdroj= !Název součásti zaznamenána."Zdroj = Správce služeb"
Kategorie= !Klasifikace události platný"kategorii Změna zásad ="
IDVšechny logické operátory.Identifikátor události"ID! 88"
průvodce Migration Wizard v korejské jazykové verzi= !Platný název počítače."počítače = server2"


PŘÍKLADY

  • Chcete-li zobrazit všechny události v protokolu aplikace v místním počítači ve výchozím formátu tabulky, zadejte následující řádek na příkazovém řádku a stiskněte klávesu ENTER:
    aplikace EVENTQUERY.PL
  • Chcete-li zobrazit podrobnosti všechny události v protokolech systému a serveru DNS počítače s názvem Server8 ve formátu seznamu, zadejte následující řádek na příkazovém řádku a stiskněte klávesu ENTER:
    server8 -s EVENTQUERY.PL systému "dns server" - Formát seznamu - v
  • Eventquery.pl spustit pomocí účtu Administrators zobrazit události v protokolu zabezpečení počítače s názvem Server5 ve formátu textu odděleného čárkami a přesměrovat výstup do souboru s názvem Srv5_Sec.csv na jednotce E, zadejte následující řádek na příkazovém řádku a stiskněte klávesu ENTER:
    eventquery.pl zabezpečení -s server5 -u mydomain \administrator -p mypassword-formátu csv > e:\srv5_sec.csv
  • Chcete-li zobrazit podrobný záznam události všechny protokoly událostí místního počítače, které byly zaznamenány ve formátu seznamu mezi 8: 00 ante a 8.00: 20 8. února 2002, zadejte následující řádek na příkazovém řádku a stiskněte klávesu ENTER:
    eventquery.pl * - formát seznamu - v - filtr "datetime > 02/08/2002:8:00 am"-filtrovat"datetime < 02/08/2002:08:20 am"
  • Vyhledávání pro instance ID události Windows File Protection 64004 a potom zobrazení systémového protokolu události ve výchozím formátu tabulky, zadejte následující řádek na příkazovém řádku a stiskněte klávesu ENTER:
    systému eventquery.pl - filtr "Zdroj = Ochrana souborů systému windows"-filtrovat"id = 64004" - v
  • Chcete-li zobrazit pěti nejnovější události z protokolu aplikace v počítači s názvem Server8 ve výchozím formátu tabulky a přesměrovat výstup do souboru App_new.txt, zadejte následující řádek na příkazovém řádku a stiskněte klávesu ENTER:
    server8 -s aplikace eventquery.pl - rozsahu 5 > app_new.txt
  • Chcete-li zobrazit všechny události chyby (kromě událostí ID 100), které jsou zaznamenány v protokolu aplikace pomocí programu Mojeapl s názvem ve formátu textu odděleného čárkami a přesměrovat výstup do souboru C:\Myapp\Errors.csv, zadejte následující řádek na příkazovém řádku a stiskněte klávesu ENTER:
    aplikace eventquery.pl - Filtr "typ = chyba „ - filtrovat „ zdroj = Mojeapl"-filtrovat"id! 100" - Formát csv > c:\myapp\errors.csv

Odstraňování potíží

Při pokusu o spuštění Eventquery.pl zobrazí následující chybová zpráva:
Chyba: Wmi.pm je vyžadován ke spuštění skriptu.
Kopírovat Wmi.pm z adresáře Resource Kit /Perl/site/lib/W2RK.
K tomuto chování může dojít, pokud počítač není správně nakonfigurován ke spuštění skripty Perl, které jsou součástí systému Windows 2000 Resource Kit Supplement 1. Použití Eventquery.pl musí existovat W2rk složka ve složce \Site\Lib Perl Installation Folder a musí obsahovat soubor Wmi.pmi.

Toto chování vyřešíte ručně nakonfigurovat prostředí, ve kterém chcete spustit skripty Perl:
  1. Vytvořte složku s názvem W2rk ve složce \Site\Lib Perl Installation Folder.

    Poznámka: výchozí Perl Installation Folder je drive: \Perl, kde drive je jednotka, na kterém je nainstalován systém Windows.
  2. Zkopírujte soubor Wmi.pmi ze složky, ve kterém je nainstalován Windows 2000 Resource Kit (obvykle \Program Files\Resource Kit) W2rk složky vytvořené v kroku 1.
Při spuštění Eventquery.pl můžete v okně Příkazový obdržet jednu nebo více zpráv podobná následující:
INFORMACE: Žádné položky protokolu ' EventLogName vyhovují kritériím filtru.
Toto chování může dojít, pokud Eventquery.pl nenašel žádné položky protokolu událostí, které splňují kritéria filtrování zadané.

Odkazy

Další informace o zobrazení a správě protokolů v Prohlížeči událostí získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
302542Diagnostikovat potíže systému pomocí prohlížeče událostí v systému Windows 2000
315417Přesunutí souborů protokolu Prohlížeče událostí do jiného umístění v systému Windows 2000 a Windows Server 2003
Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
315410Jak používat nástroj protokolování událostí (logevent.exe) k vytvoření a vlastní události protokolu v prohlížeči událostí v systému Windows 2000
Další informace o sadě Windows 2000 Resource Kit najdete na následujícím webu společnosti Microsoft:
Windows 2000 Resource Kit Online Books a odkazy
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx

Vlastnosti

ID článku: 317381 - Poslední aktualizace: 2. března 2007 - Revize: 6.3
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Klíčová slova: 
kbmt kberrmsg kbhowto kbhowtomaster KB317381 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:317381

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com