Zum Verwenden der Ereignis Abfrage Script-Tools (Eventquery.pl) in Microsoft Windows 2000

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 317381 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt die das Ereignis Abfrage Script-Tool (Eventquery.pl-Datei) verwenden, um Ereignisse aus der Ereignisanzeige-Protokolle von Windows 2000-Computer anzuzeigen.

Ein Ereignis ist ein wesentliches anwendungsbezogenes Vorkommnis im System oder in einem Programm, das erfordert, dass Benutzer benachrichtigt werden oder erfordert, dass in einem Protokoll ein Eintrag vorgenommen werden. Der Ereignisprotokolldienst Datensätze Ereignisse, die Anwendungs-, Sicherheit und Protokolle in der Ereignisanzeige. Außerdem Ereignisse werden geschrieben, mit dem Verzeichnisdienst und Dateireplikationsdienst anmeldet, Domänencontroller und der DNS-Serverprotokoll auf Domain Name System (DNS)-Servern.

Mithilfe der Ereignisanzeige erhalten Sie Informationen zu Ihrer Hardware, Software und Systemkomponenten, und Sie können Sicherheitsereignisse auf einem lokalen oder Remotecomputer überwachen. Ereignisprotokolle hilft Ihnen das Identifizieren und die Quelle aktueller Systemprobleme und Hilfe Vorhersagen von möglichen Systemproblemen zu diagnostizieren.

Systemanforderungen für Eventquery.pl

Das Ereignis Abfrage Script-Tool ist in Microsoft Windows 2000 Resource Kit Supplement 1 verfügbar. Dieses Skripttool wird auf einem Quellcomputer ausgeführt und auf einem Zielcomputer (die dem gleichen Computer wie der Ausgangscomputer sein kann) fungiert. Bevor Sie dieses Tool zum Abfragen von Ereignisprotokollen des lokalen oder einem Remotecomputer verwenden können, müssen die folgenden Anforderungen erfüllt sein:

Quellcomputer

  • Der Computer wird Windows 2000 Professional oder Windows 2000 Server ausgeführt.
  • ActiveState ActivePerl erstellen 521 ist installiert. Dieses Programm ist in Windows 2000 Resource Kit verfügbar.

    Der Computer muss auch korrekt konfiguriert werden, zum Ausführen von Perl-Skripts, die in Windows 2000 Resource Kit Supplement 1 enthalten sind. Das Resource Kit WMI-Anbietermodul Wmi.pm, muss im Ordner Perl Installation Folder \Site\Lib\W2rk sein. Das Resource Kit Setup-Programm wird normalerweise erstellt den Ordner W2rk und kopiert die Wmi.pm-Datei in diesem Ordner.

    Wenn Setup nicht automatisch im Ordner W2rk erstellen, können Sie manuell erstellen und konfigurieren die Umgebung zum Ausführen von Eventquery.p. Weitere Informationen dazu finden Sie im Abschnitt Troubleshooting weiter unten in diesem Artikel.
  • Sie müssen als Mitglied der Gruppe "Administratoren" Security Protokollereignisse Anzeigen angemeldet werden.

Zielcomputer

  • Der Computer wird entweder Windows 2000 Professional oder Windows 2000 Server ausgeführt.

Übersicht über Eventquery.pl

Eventquery.pl wird die folgende Syntax verwendet:
EVENTQUERY.pl EventLog [... EventLog] | * [ -s Computer [ -u Domain\User-p Password]] [ - n Bereich | -n | Begin-End] [ - Tabelle formatieren | Liste | Csv ] [-v] [ - Filtern "FieldOperatorValue" [ - Filtern "FieldOperatorValue"...]]
Die Parameter, die Sie mit Eventquery.pl verwenden können lauten wie folgt:
  • EventLog[... EventLog] | *: Verwenden Sie diesen Parameter, um die Ereignisprotokolle anzugeben, die Sie suchen möchten. Wenn Sie zwei oder mehr Ereignisprotokolle durchsuchen möchten, trennen Sie jedes Protokoll durch ein Leerzeichen. Wenn Sie alle Ereignisprotokolle durchsuchen möchten, verwenden Sie das Platzhalterzeichen (1). Wenn der Ereignisprotokoll-Name ein Leerzeichen enthält, wird der Name in Anführungszeichen ("") muss.
  • -s Computer: Verwenden Sie diesen Parameter, um den Namen oder IP-Adresse eines Remotecomputers anzugeben. Wenn Sie diesen Parameter weglassen, wird der lokale Computer angegeben.
    • -u Domain\User: Verwenden Sie diesen Parameter, um das Benutzerkonto mit dem Eventquery.pl ausgeführt anzugeben. Dieser Parameter nicht angegeben ist, verwendet Eventquery.pl Berechtigungen des Benutzers aktuell logged-on. Wenn Sie diesen Parameter verwenden, müssen Sie außerdem verwenden die -p Parameter für das Kennwort des Benutzers bereitstellen.
    • --p Password: Verwenden Sie diesen Parameter, um das Kennwort des Benutzerkontos angeben, die vom angegeben wird die -u Parameter. Die -p Parameter ist erforderlich, wenn Sie die -u Parameter.
    Hinweis : beide die -p und -u Parameter sind verfügbar, nur wenn Sie die -s Parameter.

  • -Bereich n | -n | Begin-End: Verwenden Sie diesen Parameter, um die Anzahl der Ereignisse angeben, die von einzelnen Ereignisprotokollen angezeigt werden. Wenn Sie diesen Parameter auslassen, werden alle Ereignisse von Eventquery.pl angezeigt.
    • n: Verwenden Sie diese Variable auf die zuletzt n Ereignisse in jedem Protokoll angeben, die angezeigt wird, in absteigender Reihenfolge, wobei n eine ganze Zahl größer als 0 (null) ist.
    • -n: Verwenden Sie diese Variable, um die letzte (ältestes) n Ereignisse in jedem Protokoll angeben, die angezeigt wird, in aufsteigender Reihenfolge, wobei -n eine ganze Anzahl größer als 0 (null) ist.
    • Begin-End: Verwenden Sie diese Variable zum Definieren einer Reihe von Ereignissen in jedem Protokoll wo Begin und End sind ganze Zahlen größer als 0 (null).
  • -Tabelle formatieren | Liste | Csv : Verwenden Sie diesen Parameter, um das Ausgabeformat anzugeben. Wenn Sie diesen Parameter weglassen, verwendet Eventquery.pl das Tabellenformat.
  • -V : mit dieser Parameter können Sie das Ereignis Daten und die Beschreibung Abschnitte zur Anzeige hinzufügen.
  • -Filtern "FieldOperatorValue" [ - Filtern "FieldOperatorValue"...]: Verwenden Sie diesen Parameter, um die Kriterien für die Ereignisse anzugeben, die in der Anzeige enthalten sind. Wenn Sie diesen Parameter auslassen, werden alle Ereignisse angezeigt. Verwenden Sie eine separate Instanz von - Filter "FieldOperatorValue" für jede Kriterien, die Sie angeben möchten, und trennen Sie jeder Parameter mit einem Leerzeichen.

    Die folgende Tabelle listet die Operatoren und Werte, die für jedes Feld verfügbar sind, die mit dem Parameter - filter verwendet wird. Die Tabelle enthält auch ein Beispiel für jede "FieldOperatorValue":
Tabelle minimierenTabelle vergrößern
FeldOperatorWertBeispiel
Typ= !Fehler | Informationen | Warnung (System- und Anwendungsprotokolle) | SuccessAudit oder FailureAudit (Sicherheitsprotokoll)"Typ = Fehler"
DateTimeAlle logischen OperatorenDate in mm-tt/jj [JJJJ] format oder Date: Time in mm-tt / [JJJJ] Yy:hh: [mm: [ss [Am|pm]]] Format? Datetime > 02-08/2002:11:59:59 PM "
Quelle= !Name der Komponente, die das Ereignis protokolliert."Source = Service Control Manager"
Kategorie= !Eine Klassifizierung gültiges Ereignis"Kategorie Richtlinienänderung ="
IDAlle logischen Operatoren.Eine Ereignis-ID"ID! 88"
Computer= !Eine gültige Computername."Computer = server2"


Beispiele

  • Um alle Ereignisse im Anwendungsprotokoll des lokalen Computers in der Tabelle Standardformat anzuzeigen, geben Sie an der Eingabeaufforderung die folgende Zeile, und drücken Sie anschließend die [EINGABETASTE]:
    EVENTQUERY.pl Anwendung
  • Um Details zu allen Ereignissen in den Protokollen System und DNS-Server eines Computers mit dem Namen Server8 in List-Format anzuzeigen, geben Sie an der Eingabeaufforderung die folgende Zeile, und drücken Sie anschließend die [EINGABETASTE]:
    EVENTQUERY.pl System "Dns Server" -s server8 - Format Liste-v
  • Um Eventquery.pl mithilfe von das Administratorkonto zum Anzeigen der Ereignisse im Sicherheitsprotokoll eines Computers mit dem Namen Server5 in durch Trennzeichen getrennten Format und leiten Sie die Ausgabe in eine Datei mit dem Namen Srv5_Sec.csv auf Laufwerk E ausführen, geben Sie an der Eingabeaufforderung die folgende Zeile, und dann die EINGABETASTE:
    eventquery.pl Sicherheit -s server5 -u mydomain \administrator -p mypassword-CSV-format > e:\srv5_sec.csv
  • Um eine detaillierte Aufzeichnung von Ereignissen in allen Ereignisprotokollen des lokalen Computers anzuzeigen, die zwischen 8: 00 Uhr und 8: 20 Uhr auf 8 Februar 2002,, im Listenformat vorliegen aufgezeichnet wurden, geben Sie folgende Zeile an der Eingabeaufforderung und drücken Sie anschließend die [EINGABETASTE]:
    eventquery.pl * - Liste für die Format - V - Filter "Datetime > 02-08/bin 2002:8:00"-Filtern"Datetime < 02-08/2002:08:20 bin"
  • Suchen Sie das Systemprotokoll auf Instanzen von Windows File Protection-ID 64004 und dann Anzeigen der Ereignisse in Tabelle Format, geben Sie an der Eingabeaufforderung die folgende Zeile und drücken Sie anschließend die [EINGABETASTE]:
    eventquery.pl-System - Filter "Source = Windows-Dateischutz"-Filtern"Id = 64004" V -
  • Die fünf neuesten Ereignisse aus dem Anwendungsprotokoll auf einem Computer namens Server8 im Standardformat Tabelle anzuzeigen, und die Ausgabe in die App_new.txt-Datei umzuleiten, geben Sie die folgende Zeile an der Eingabeaufforderung, und drücken Sie anschließend die [EINGABETASTE]:
    eventquery.pl Anwendung -s server8 - Bereich von 5 > app_new.txt
  • Um alle Fehlerereignisse (außer Ereignis ID 100) anzuzeigen, die werden in das Anwendungsprotokoll von einem Programm mit dem Namen MyApp in durch Trennzeichen getrennten Format aufgezeichnet und die Ausgabe in die C:\Myapp\Errors.csv-Datei umzuleiten, geben Sie an der Eingabeaufforderung die folgende Zeile, und drücken Sie anschließend die [EINGABETASTE]:
    eventquery.pl Anwendung - Filter "Typ = Fehler"-Filtern"Source = Myapp"-Filtern"Id! 100" - CSV-format > c:\myapp\errors.csv

Problembehandlung

Wenn Sie versuchen, führen Sie Eventquery.pl wird sinngemäß folgende Fehlermeldung:
Fehler: Wmi.pm muss das Skript ausführen.
Kopieren Sie Wmi.pm aus dem Resource Kit-Verzeichnis zu /Perl/site/lib/W2RK.
Dieses Verhalten kann auftreten, wenn der Computer nicht ordnungsgemäß konfiguriert ist, zum Ausführen von Perl-Skripts, die in Windows 2000 Resource Kit Supplement 1 enthalten sind. Eventquery.pl verwenden möchten, muss der W2rk-Ordner im Ordner Perl Installation Folder \Site\Lib vorhanden, und es muss die Wmi.pmi-Datei enthalten.

Um dieses Problem zu beheben, konfigurieren Sie manuell die Umgebung zum Ausführen von Perl-Skripts:
  1. Erstellen Sie einen Ordner mit dem Namen W2rk im Ordner \Site\Lib Perl Installation Folder.

    Hinweis : Standardeinstellung Perl Installation Folder ist drive: \Perl, wobei drive das Laufwerk steht, auf dem Windows installiert ist.
  2. Kopieren Sie die Datei Wmi.pmi aus dem Ordner in dem Windows 2000 Resource Kit installiert ist (i. d. r. \Program Files\Resource Kit) zu dem W2rk Ordner, den Sie in Schritt 1 erstellt haben.
Beim Ausführen von Eventquery.pl erhalten Sie im Eingabeaufforderungsfenster eine oder mehrere Nachrichten, die der folgenden ähnelt:
INFO: Keine ' EventLogName ' Protokolleinträge erfüllen Filterkriterien.
Dieses Verhalten kann auftreten, wenn Eventquery.pl keine Einträge im Ereignisprotokoll gefunden haben, die die Filterung Kriterien erfüllen, die Sie angegeben.

Informationsquellen

Zusätzliche Informationen zum Anzeigen und Verwalten der Protokolle in der Ereignisanzeige finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
302542Diagnose von Systemproblemen mit der Ereignisanzeige in Microsoft Windows 2000
315417Zum Verschieben von Protokolldateien der Ereignisanzeige in einem anderen Speicherort in Windows 2000 und Windows Server 2003
Weitere Informationen finden Sie die folgende KB-Artikelnummer:
315410Wie Sie das Dienstprogramm Ereignisprotokollierung ("Logevent.exe"), zum Erstellen und benutzerdefinierte Ereignisse in der Ereignisanzeige in Windows 2000-Protokoll
Weitere Informationen zum Windows 2000 Resource Kit finden Sie auf folgender Microsoft-Website:
Windows 2000 Resource Kit, Online Books und Verweise
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx

Eigenschaften

Artikel-ID: 317381 - Geändert am: Freitag, 2. März 2007 - Version: 6.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Keywords: 
kbmt kberrmsg kbhowto kbhowtomaster KB317381 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 317381
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com