Cómo utilizar la herramienta de script de consulta de evento (Eventquery.pl) en Microsoft Windows 2000

Seleccione idioma Seleccione idioma
Id. de artículo: 317381 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo describe cómo utilizar la herramienta de script de consulta de evento (archivo Eventquery.pl) para mostrar sucesos de registros del Visor de sucesos de equipos basados en Microsoft Windows 2000.

Un evento es cualquier suceso significativo en el sistema o en un programa, que requiere que notificará a los usuarios o requiere que se crea una entrada en un registro. El servicio Registro de sucesos graba sucesos en los registros de aplicación, seguridad y sistema del Visor de sucesos. Además, los sucesos se escriben en el servicio de directorio y los registros de servicio de replicación de archivos en los controladores de dominio y el registro de servidor DNS en servidores de Sistema de nombres de dominio (DNS).

Mediante Visor de sucesos, puede obtener información acerca de su hardware, software y componentes del sistema y puede supervisar sucesos de seguridad en un equipo local o remoto. Registros de sucesos puede ayudarle a identificar y diagnosticar el origen de problemas del sistema actual y predecir posibles problemas del sistema de Ayuda.

Requisitos del sistema para Eventquery.PL

La herramienta de script de consulta de eventos está disponible en Microsoft Windows 2000 Resource Kit Suplemento 1. Esta herramienta de secuencia de comandos se ejecuta en un equipo de origen y actúa en un equipo de destino (que puede ser el mismo equipo que el equipo de origen). Puede utilizar esta herramienta para consultar los registros de sucesos de local o un equipo remoto, se deben cumplir los requisitos siguientes:

Equipo de origen

  • El equipo está ejecutando Windows 2000 o Windows 2000 Server.
  • 521 De generación de ActivePerl de ActiveState está instalado. Este programa está disponible en el Kit de recursos de Windows 2000.

    El equipo también debe configurarse correctamente para ejecutar las secuencias de comandos Perl que se incluyen en el Windows 2000 Resource Kit, Suplemento 1. El módulo de proveedor de WMI del Kit de recursos, Wmi.pm, debe estar en la carpeta \Site\Lib\W2rk de Perl Installation Folder. El programa de instalación del Kit de recursos normalmente crea la carpeta W2rk y copia el archivo Wmi.pm en esta carpeta.

    Si el programa de instalación no crea automáticamente la carpeta W2rk, puede crearlo manualmente y configurar el entorno en el que ejecutar Eventquery.p. Para obtener más información acerca de cómo hacerlo, consulte la sección Troubleshooting más adelante en este artículo.
  • Debe iniciar sesión como miembro del grupo Administradores para ver sucesos de registro de seguridad.

Equipo de destino

  • El equipo ejecuta Windows 2000 o Windows 2000 Server

Información general de Eventquery.PL

EVENTQUERY.pl utiliza la sintaxis siguiente:
Eventquery.pl EventLog [EventLog...] | * [ -s Computer [ -u Domain\User -p Password]] [ - intervalo n | -n | Begin-End] [ - dar formato a tabla | lista | csv ] [-v] [ - filtrar "FieldOperatorValue" [ - filtrar "FieldOperatorValue"...]]
Los parámetros que puede utilizar con Eventquery.pl son:
  • EventLog[EventLog...] | *: Utilice este parámetro para especificar los registros de sucesos que desea buscar. Si desea buscar dos o más registros de sucesos, separe cada registro con un espacio. Si desea buscar todos los registros de eventos, utilice el carácter comodín (*). Si el nombre de registro de sucesos contiene un espacio, incluya el nombre entre comillas ("").
  • -s Computer: Utilice este parámetro para especificar el nombre o la dirección IP de un equipo remoto. Si omite este parámetro, se especifica el equipo local.
    • -u Domain\User: Utilice este parámetro para especificar la cuenta de usuario con el que se va a ejecutar Eventquery.pl. Si se omite este parámetro, Eventquery.pl utiliza permisos del usuario actualmente logged-on. Si utiliza este parámetro, debe utilizar también el -p parámetro para proporcionar la contraseña del usuario.
    • -p Password: Utilice este parámetro para especificar la contraseña de la cuenta de usuario especificado por el -u parámetro. El -p parámetro es necesario si utiliza el -u parámetro.
    Nota : ambos el -p y -u parámetros están disponibles sólo si utiliza el -s parámetro.

  • -intervalo n | -n | Begin-End: Utilice este parámetro para especificar el número de eventos que aparecen cada registro de eventos. Si omite este parámetro, Eventquery.pl muestra todos los eventos.
    • n: utilizar esta variable para especificar los eventos de n más recientes en cada registro, que aparecerán en orden descendente, donde n es un número de entero mayor que 0 (cero).
    • -n: Utilice esta variable para especificar los eventos de n últimos (más antiguos) en cada registro, que aparecerá en orden ascendente, donde -n es un número de entero mayor que 0 (cero).
    • Begin-End: Utilice esta variable para definir un rango de eventos en cada registro, donde Begin y End son números de entero mayores que 0 (cero).
  • -dar formato a tabla | lista | csv : Utilice este parámetro para especificar el formato de salida. Si omite este parámetro, Eventquery.pl utiliza el formato de tabla.
  • -v : Utilice este parámetro para agregar las secciones de descripción y datos de evento a la presentación.
  • -filtrar "FieldOperatorValue" [ - filtrar "FieldOperatorValue"...]: Utilice este parámetro para especificar los criterios para eventos que se incluyen en la pantalla. Si omite este parámetro, todos los sucesos aparecen. Utilizar una instancia diferente de - filtro "FieldOperatorValue" para cada criterio que desee especificar y separe cada parámetro con un espacio.

    La siguiente tabla enumera los operadores y valores que están disponibles para cada campo que se utiliza con el parámetro - filtrar . La tabla también proporciona un ejemplo de cada "FieldOperatorValue":
Contraer esta tablaAmpliar esta tabla
CampoOperadorValorEjemplo
Tipo= !Error | información | advertencia (registros de sistema y aplicación) | SuccessAudit o FailureAudit (registro de seguridad)"Tipo = error"
DateTimeTodos los operadores lógicosDate en mm/dd/aa [aa] formato o Date: Time en mm/dd/yy:hh [aa]: [mm: [ss [am|pm]]] formato"fecha y hora > 02/08/2002:11:59:59 P.M."
Origen= !Nombre del componente que registró el suceso."origen = Service Control Manager"
Categoría= !Una clasificación de evento válido"categoría = cambio de directiva"
ID.Todos los operadores lógicos.Un identificador de eventos"ID! 88"
Equipo= !Un nombre de equipo válido."equipo = Servidor2"


Ejemplos

  • Para mostrar todos los eventos en el registro aplicación del equipo local en el formato de tabla predeterminado, escriba la línea siguiente en el símbolo del sistema y, a continuación, presione ENTRAR:
    aplicación Eventquery.pl
  • Para mostrar detalles de todos los eventos en los registros del sistema y servidor DNS de un equipo denominado Server8 en formato de lista, escriba la línea siguiente en el símbolo del sistema y, a continuación, presione ENTRAR:
    Eventquery.pl sistema "dns server" -s servidor8 - formato de lista - v
  • Para ejecutar Eventquery.pl utilizando la cuenta de administrador para mostrar los eventos en el registro de seguridad de un equipo denominado Servidor5 en formato delimitado por comas y redirigir la salida a un archivo denominado Srv5_Sec.csv en la unidad E, escriba la línea siguiente en el símbolo del sistema y, a continuación, presione ENTRAR:
    eventquery.pl seguridad -s server5 -u mydomain \administrator -p mypassword-formato csv > e:\srv5_sec.csv
  • Para mostrar un registro detallado de eventos en todos los registros de sucesos del equipo local que se grabaron entre las 8: 00 a.m. y las 8: 20 A.M. 8 de febrero de 2002, en formato de lista, escriba la línea siguiente en el símbolo del sistema y, a continuación, presione ENTRAR:
    eventquery.pl * - formato de lista - v - filtro "datetime > 02/08/2002:8:00 am"-filtro"datetime < 02/08/2002:08:20 estoy"
  • Para buscar el registro del sistema instancias del identificador de sucesos de protección de archivos de Windows 64004 y, a continuación, mostrar los eventos de tabla predeterminado en formato, escriba la línea siguiente en el símbolo del sistema y presione ENTRAR:
    eventquery.pl sistema - filtro de "origen = protección de archivos de windows"-filtrar"id = 64004" - v
  • Para mostrar los cinco sucesos más recientes desde el registro aplicación en un equipo denominado Server8 en formato de tabla predeterminado y redirigir la salida al archivo App_new.txt, escriba la línea siguiente en el símbolo del sistema y, a continuación, presione ENTRAR:
    eventquery.pl aplicación -s servidor8 - intervalo 5 > app_new.txt
  • Para mostrar todos los eventos de error (excepto el evento 100 de ID) que se registran en el registro de aplicación por un programa denominado MyApp en formato delimitado por comas y redirigir la salida al archivo C:\Myapp\Errors.csv, escriba la línea siguiente en el símbolo del sistema y, a continuación, presione ENTRAR:
    eventquery.pl aplicación - filtro de "tipo = error de"-filtrar"origen = myapp"-filtrar"id! 100" - formato csv > c:\myapp\errors.csv

Solución de problemas

Cuando intenta ejecutar Eventquery.pl, recibirá el siguiente mensaje de error:
ERROR: Wmi.pm es necesario para ejecutar la secuencia de comandos.
Copie Wmi.pm desde el directorio Kit de recursos a /Perl/site/lib/W2RK.
Este comportamiento puede producirse si el equipo no está configurado correctamente para ejecutar las secuencias de comandos Perl que se incluyen en el Windows 2000 Resource Kit, Suplemento 1. Para utilizar Eventquery.pl, la carpeta W2rk debe existir en la carpeta \Site\Lib de Perl Installation Folder y debe contener el archivo Wmi.pmi.

Para resolver este comportamiento, configure manualmente el entorno ejecutar secuencias de comandos Perl:
  1. Cree una carpeta denominada W2rk en la carpeta \Site\Lib de Perl Installation Folder.

    Nota : Perl Installation Folder predeterminado es drive: \Perl donde drive es la que está instalado Windows.
  2. Copie el archivo Wmi.pmi desde la carpeta en la que está instalado el Kit de recursos de Windows 2000 (normalmente, \Program Files\Resource Kit) a la carpeta W2rk que creó en el paso 1.
Cuando ejecuta Eventquery.pl, puede recibir uno o más mensajes similares al siguiente en la ventana del símbolo del sistema:
INFORMACIÓN: No hay entradas de registro ' EventLogName ' satisfacen criterios de filtro.
Este comportamiento puede producirse si Eventquery.pl no encontró ninguna entradas de registro de sucesos que reúnan los criterios de filtrado que ha especificado.

Referencias

Para obtener información adicional acerca de cómo ver y administrar los registros del Visor de sucesos, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
302542Diagnosticar problemas del sistema con el Visor de sucesos en Microsoft Windows 2000
315417Cómo mover los archivos de registro del Visor de sucesos a otra ubicación en Windows 2000 y en Windows Server 2003
Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
315410Cómo utilizar la utilidad de registro de sucesos (Logevent.exe) para crear y registrar sucesos personalizados en Visor de sucesos en Windows 2000
Para obtener más información acerca del Kit de recursos de Windows 2000, visite el siguiente sitio Web de Microsoft:
Kit de recursos de Windows 2000, libros en pantalla y referencias
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx

Propiedades

Id. de artículo: 317381 - Última revisión: viernes, 2 de marzo de 2007 - Versión: 6.3
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palabras clave: 
kbmt kberrmsg kbhowto kbhowtomaster KB317381 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 317381

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com