Comment utiliser l'outil de script de la requête d'événement (eventquery.pl) dans Microsoft Windows 2000

Traductions disponibles Traductions disponibles
Numéro d'article: 317381 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article explique comment utiliser l'outil de script de la requête d'événement (fichier eventquery.pl) pour afficher les événements provenant de l'Observateur d'événements des journaux d'ordinateurs Windows 2000.

Un événement est toute occurrence significative dans le système, ou dans un programme, qui nécessite que les utilisateurs notifiés ou impose qu'une entrée doit être effectué dans un journal. Les événements d'enregistrements service Journal des événements à l'application, sécurité et système journaux dans l'Observateur d'événements. En outre, les événements sont écrits dans le service d'annuaire et service de réplication de fichiers ouvre une session sur les contrôleurs de domaine et le journal du serveur DNS sur les serveurs DNS (Domain Name System) (DNS).

À l'aide de l'Observateur d'événements, vous pouvez obtenir des informations sur votre matériel, logiciel et composants du système, et vous pouvez surveiller les événements de sécurité sur un ordinateur local ou distant. Journaux d'événements vous permet identifier et à diagnostiquer la source de problèmes système actuels et Aide vous prédire les problèmes système potentiels.

Configuration requise pour eventquery.pl

L'outil de script de la requête d'événement est disponible dans le Supplément 1 du Microsoft Windows 2000 Resource Kit. Cet outil de script s'exécute sur un ordinateur source et agit sur un ordinateur cible (qui peut être le même ordinateur que l'ordinateur source). Avant de pouvoir utiliser cet outil pour interroger les journaux des événements de la locale ou un ordinateur distant, les conditions suivantes doivent être remplies :

Ordinateur source

  • L'ordinateur exécute Windows 2000 Professionnel ou Windows 2000 Server.
  • ActiveState ActivePerl créer 521 est installé. Ce programme est disponible dans le Kit de ressources Windows 2000.

    L'ordinateur doit également être configuré correctement pour exécuter les scripts Perl qui sont inclus dans le Supplément 1 du Kit de ressources de Windows 2000. Le module fournisseur WMI de Kit de ressources, wmi.pm, doit être dans le dossier \Site\Lib\W2rk Perl Installation Folder. Le programme d'installation du Kit de ressources crée le dossier W2rk généralement et copie le fichier de wmi.pm dans ce dossier.

    Si programme d'installation ne crée pas automatiquement le dossier W2rk, vous pouvez manuellement créer et configurer l'environnement d'exécution eventquery.p. Pour plus d'informations, reportez-vous à la section Troubleshooting plus loin dans cet article.
  • Vous devez être connecté en tant que membre du groupe Administrateurs pour afficher les événements du journal sécurité.

Ordinateur de destination

  • L'ordinateur exécute Windows 2000 Professionnel ou Windows 2000 Server

Vue d'ensemble des eventquery.pl

Eventquery.pl utilise la syntaxe suivante :
EVENTQUERY.pl EventLog [EventLog...] | * [ -s Computer [ -u Domain\User-p Password]] [ - plage n | -n | Begin-End] [ - mettre en forme table | liste | csv ] [-v] [ - filtrer "FieldOperatorValue" [ - filtrer "FieldOperatorValue"...]]
Les paramètres que vous pouvez utiliser avec eventquery.pl sont comme suit :
  • EventLog [ EventLog...] | *: Utilisez ce paramètre pour spécifier les journaux d'événements que vous voulez rechercher. Si vous souhaitez rechercher deux ou plusieurs journaux des événements, séparez chaque journal par un espace. Si vous souhaitez rechercher tous les journaux d'événements, utilisez le caractère générique (*). Si le nom du journal des événements contient un espace, placez le nom entre guillemets ('').
  • -s Computer : Utilisez ce paramètre pour spécifier le nom ou adresse IP d'un ordinateur distant. Si vous omettez ce paramètre, l'ordinateur local est spécifié.
    • -u Domain\User : Utilisez ce paramètre pour spécifier le compte utilisateur avec lequel exécuter eventquery.pl. Si vous omettez ce paramètre, eventquery.pl utilise les autorisations de l'utilisateur actuellement logged-on. Si vous utilisez ce paramètre, vous devez également utiliser la -p paramètre de mot de passe de l'utilisateur.
    • -p, Password : Utilisez ce paramètre pour spécifier le mot de passe du compte d'utilisateur qui est spécifié par la -u paramètre. Le -p paramètre est obligatoire si vous utilisez le -u paramètre.
    Remarque : les deux le -p et -u paramètres sont disponibles uniquement si vous utilisez le -s paramètre.

  • -plage n | -n | Begin-End : Utilisez ce paramètre pour spécifier le nombre d'événements qui s'affichent de chaque journal des événements. Si vous omettez ce paramètre, eventquery.pl affiche tous les événements.
    • n: Utilisation de cette variable pour spécifier les événements n plus récents dans chaque journal, qui s'afficheront dans l'ordre décroissant, où n est un nombre entier supérieur à 0 (zéro).
    • -n : utilisez cette variable pour spécifier les événements de n (la plus ancienne) dernier dans chaque journal, qui s'afficheront dans l'ordre croissant, où -n est un nombre d'entier supérieur à 0 (zéro).
    • Begin-End : utilisez cette variable pour définir une plage d'événements dans chaque journal, où Begin et de End sont des nombres entiers supérieurs à 0 (zéro).
  • -Mettre en forme table | liste | csv : Utilisez ce paramètre pour spécifier le format de sortie. Si vous omettez ce paramètre, eventquery.pl utilise le format de tableau.
  • -v : ce paramètre permet d'ajouter l'événement données et les sections de description à l'écran.
  • -Filtrer "FieldOperatorValue" [ - filtrer "FieldOperatorValue"...]: Utilisez ce paramètre pour spécifier les critères d'événements qui sont inclus dans l'affichage. Si vous omettez ce paramètre, tous les événements s'affiche. Utiliser une instance séparée du filtre "FieldOperatorValue" pour chaque critère que vous souhaitez spécifier et séparez chaque paramètre avec un espace.

    Le tableau suivant répertorie les opérateurs et les valeurs qui sont disponibles pour chaque champ est utilisé avec le paramètre - filtrer . Le tableau fournit également un exemple du chaque "FieldOperatorValue" :
Réduire ce tableauAgrandir ce tableau
ChampOpérateurValeurExemple
Type= !Erreur | informations | avertissement (journaux système et application) | SuccessAudit ou FailureAudit (journal de sécurité)" Type = erreur »
DateTimeTous les opérateurs logiquesDate MM/JJ/AA [a] format ou Date : Time mm/jj/yy:hh [a]: [mm: [ss [am|pm]]] format" datetime > 02/08/2002:11:59:59 PM "
Source= !Nom du composant ayant consigné l'événement." source = le Gestionnaire de contrôle des services »
Catégorie= !Une classification d'événement valide« catégorie = modification de la stratégie "
CODETous les opérateurs logiques.Un identificateur d'événement" CODE! 88"
Ordinateur= !Un nom de l'ordinateur valide.« ordinateur = server2 »


Exemples

  • Pour afficher tous les événements dans le journal d'application de l'ordinateur local dans le format de tableau par défaut, tapez la ligne suivante à l'invite de commandes et puis appuyez sur ENTRÉE :
    application EVENTQUERY.pl
  • Pour afficher les détails de tous les événements dans les journaux système et DNS Server d'un ordinateur nommé Server8 dans format de liste, tapez la ligne suivante à l'invite de commandes et appuyez sur ENTRÉE :
    EVENTQUERY.pl système "serveur DNS" -s server8 format liste - v
  • Pour exécuter eventquery.pl en utilisant le compte Administrateurs pour afficher les événements dans le journal sécurité d'un ordinateur nommé Server5 dans format délimité par des virgules et redirigez la sortie vers un fichier nommé Srv5_Sec.csv sur le lecteur E, tapez la ligne suivante à l'invite de commandes et appuyez sur ENTRÉE :
    eventquery.pl sécurité-s server5 -u mydomain \administrator /-p mypassword-format csv > e:\srv5_sec.csv
  • Pour afficher un enregistrement détaillé des événements dans tous les journaux des événements de l'ordinateur local qui ont été enregistrées entre 8 A.M et 8 20 h sur 8 février 2002 sous forme de liste, tapez la ligne suivante à l'invite de commandes et puis appuyez sur ENTRÉE :
    eventquery.pl *-format liste --v filtre " datetime > 02/08/2002:8:00 suis datetime "-filtrer" < 02/08/2002:08:20 suis »
  • Pour rechercher le journal système instances D'ID d'événements de protection de fichier Windows 64004 et puis afficher les événements format de tableau par défaut, tapez la ligne suivante à l'invite de commande et puis appuyez sur ENTRÉE :
    système eventquery.pl filtre " source = protection de fichier windows "-filtrer" id = 64004" v
  • Pour afficher les événements cinq plus récentes du journal des applications sur un ordinateur nommé Server8 dans le format de tableau par défaut et rediriger la sortie vers le fichier App_new.txt, tapez la ligne suivante à l'invite de commandes et appuyez sur ENTRÉE :
    eventquery.pl application-s server8 plage 5 > app_new.txt
  • Pour afficher tous les événements erreur (sauf événement ID 100) qui sont enregistrés dans le journal d'application par un programme appelé MonApp dans format délimité par des virgules et rediriger la sortie vers le fichier C:\Myapp\Errors.csv, tapez la ligne suivante à l'invite de commandes et puis appuyez sur ENTRÉE :
    eventquery.pl application filtre " type = erreur de "-filtrer" source = myapp "-filtrer" id! 100" - format csv > c:\myapp\errors.csv

Résolution des problèmes

Lorsque vous essayez d'exécuter eventquery.pl, le message d'erreur suivant s'affiche :
Erreur : wmi.pm est requis pour exécuter le script.
Copiez wmi.pm à partir du répertoire Kit de ressources à Perl/site/lib/W2RK.
Ce problème peut se produire si l'ordinateur n'est pas correctement configuré pour exécuter les scripts Perl qui sont inclus dans le Supplément 1 du Kit de ressources de Windows 2000. Pour utiliser eventquery.pl, le dossier W2rk doit exister dans le dossier \Site\Lib Perl Installation Folder, et il doit contenir le fichier wmi.pmi.

Pour résoudre ce problème, configurez manuellement l'environnement dans lequel exécuter les scripts Perl :
  1. Créez un dossier nommé W2rk dans le dossier \Site\Lib Perl Installation Folder.

    Remarque : le Perl Installation Folder par défaut est drive : \Perl où drive est le lecteur sur lequel Windows est installé.
  2. Copiez le fichier wmi.pmi du dossier dans lequel est installé le Kit de ressources Windows 2000 (en général, \Program Files\Resource Kit) dans le dossier W2rk vous avez créé à l'étape 1.
Lorsque vous exécutez eventquery.pl, un ou plusieurs messages semblables au suivant peut s'afficher dans la fenêtre d'invite de commande :
INFO : sans écritures de journal « EventLogName » satisfaire les critères de filtre.
Ce problème peut se produire si eventquery.pl n'a pas trouvé les entrées de journal des événements aux critères de filtrage que vous avez spécifié.

Références

Pour plus d'informations sur comment afficher et gérer des journaux dans l'Observateur d'événements, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
302542 Diagnostiquer les problèmes système avec Observateur d'événements dans Microsoft Windows 2000
315417 Comment déplacer les fichiers journaux de l'Observateur d'événements vers un autre emplacement dans Windows 2000 et Windows Server 2003
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
315410 Comment utiliser l'utilitaire d'enregistrement des événements (Logevent.exe) pour créer et de journal des événements personnalisés dans l'Observateur d'événements dans Windows 2000
Pour plus d'informations sur le Kit de ressources Windows 2000, reportez-vous au site de Web Microsoft suivant :
Kit de ressources Windows 2000, des ouvrages en ligne et des références
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx

Propriétés

Numéro d'article: 317381 - Dernière mise à jour: vendredi 2 mars 2007 - Version: 6.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
Mots-clés : 
kbmt kberrmsg kbhowto kbhowtomaster KB317381 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 317381
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com