Jak: Korzystanie z narzędzia skryptu kwerendy zdarzeń (Eventquery.pl) w systemie Microsoft Windows 2000

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 317381 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Ten artykuł został opublikowany wcześniej pod numerem PL317381
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

W tym artykule opisano narzędzie skryptu kwerendy zdarzeń (plik Eventquery.pl) służące do wyświetlania zdarzeń z dzienników Podglądu zdarzeń na komputerach z systemem Microsoft Windows 2000.

Zdarzenie jest znaczącym zjawiskiem w systemie lub programie, które wymaga powiadomienia użytkownika lub utworzenia wpisu w dzienniku. Usługa Dziennik zdarzeń rejestruje zdarzenia w dziennikach aplikacji, zabezpieczeń i systemu, które są dostępne w Podglądzie zdarzeń. Zdarzenia są również zapisywane w dziennikach usługi katalogowej i usługi replikacji plików na kontrolerach domeny oraz w dzienniku serwera DNS na serwerach DNS.

Za pomocą Podglądu zdarzeń można uzyskać informacje dotyczące sprzętu, oprogramowania i składników systemowych. Można także monitorować zdarzenia zabezpieczeń na komputerze lokalnym lub zdalnym. Dzienniki zdarzeń ułatwiają identyfikację i diagnostykę źródeł aktualnych problemów z systemem, a także pozwalają przewidywać przyszłe problemy.

Wymagania systemowe dotyczące pliku Eventquerylog.pl

Narzędzie skryptu kwerendy zdarzeń jest dostępne w dodatku Microsoft Windows 2000 Resource Kit Supplement 1. To narzędzie skryptów jest uruchomione na komputerze źródłowym i oddziaływa na komputer docelowy (który może być tym samym komputerem, co komputer źródłowy). Przed skorzystaniem z tego narzędzia w celu wysłania kwerendy dotyczącej dzienników zdarzeń na komputerze lokalnym lub zdalnym muszą być spełnione następujące warunki:

Komputer źródłowy

  • Komputer z systemem Windows 2000 Professional lub Windows 2000 Server.
  • Zainstalowany program ActiveState ActivePerl, kompilacja 521. Ten program jest także dostępny w zestawie Windows 2000 Resource Kit.

    Komputer musi być poprawnie skonfigurowany do uruchamiania skryptów w języku Perl, które są dostępne w dodatku Windows 2000 Resource Kit Supplement 1. W folderze folder instalacyjny programu Perl\Site\Lib\W2rk musi być zainstalowany moduł dostawcy usługi WMI, Wmi.pm. Program instalacyjny zestawu Resource Kit zwykle tworzy folder W2rk i kopiuje do niego plik Wmi.pm.

    Jeśli Instalator nie tworzy automatycznie folderu W2rk, można go utworzyć ręcznie i skonfigurować środowisko do uruchomienia pliku Eventquery.pl. Aby uzyskać więcej informacji, jak to zrobić, zobacz sekcję Rozwiązywanie problemów w tym artykule.
  • Aby móc przeglądać zdarzenia dziennika zabezpieczeń, konieczne jest zalogowanie się jako członek grupy Administratorzy.

Komputer docelowy

  • Komputer z systemem Windows 2000 Professional lub Windows 2000 Server.

Omówienie pliku Eventquery.pl

Plik Eventquery.pl używa następującej składni:
eventquery.pl Dziennik_zdarzeń [Dziennik_zdarzeń ...] | * [-s Komputer [-u Domena\Użytkownik -p Hasło]] [-range n | -n | Początek-Koniec][-format table | list | csv] [ -v][-filter "Wartość operatora filtru" [-filter "Wartość operatora filtru" ...]]
Polecenia Eventquery.pl można użyć z następującymi parametrami:
  • Dziennik_zdarzeń [Dziennik_zdarzeń ...]| *: Ten parametr określa dzienniki do przeszukania. Aby wyszukać dwa lub więcej dzienników zdarzeń, należy oddzielić nazwę każdego z nich spacją. Aby przeszukać wszystkie dzienniki, należy użyć symbolu wieloznacznego (*). Jeśli nazwa danego dziennika zdarzeń zawiera spację, należy ująć tę nazwę w znaki cudzysłowu (").
  • -s Komputer: Ten parametr służy do określenia nazwy lub adresu IP komputera zdalnego. W razie pominięcia tego parametru określany jest komputer lokalny.
    • -u Domena\Użytkownik: Ten parametr pozwala określić konto użytkownika, przy użyciu którego należy uruchomić plik Eventquery.pl. W razie pominięcia tego parametru plik Eventquery.pl użyje uprawnień aktualnie zalogowanego użytkownika. Jeśli ten parametr zostanie użyty, należy również użyć parametru -p w celu podania hasła użytkownika.
    • -p Hasło: Ten parametr służy do określenia hasła konta użytkownika, które zostało określone za pomocą parametru -u. Parametr -p jest wymagany w przypadku użycia parametru -u.
    UWAGA: Parametry -p i -u są dostępne tylko w przypadku użycia parametru -s.

  • : Parametry -range n | -n | Początek-Koniec: Ten parametr służy do określenia liczby zdarzeń pobieranych z każdego dziennika zdarzeń. Jeśli ten parametr zostanie pominięty, plik skrypt Eventquery.pl wyświetli wszystkie zdarzenia.
    • n: Ta zmienna służy do wskazania liczby n najnowszych zdarzeń z dziennika zdarzeń, które będą wyświetlane w porządku malejącym, gdzie n to liczba całkowita większa od 0 (zera).
    • -n: Ta zmienna służy do wskazania liczby n ostatnich (najstarszych) zdarzeń z dziennika zdarzeń, które będą wyświetlane w porządku rosnącym, gdzie -n to liczba całkowita większa od 0 (zera).
    • Początek-Koniec: Ta zmienna służy do zdefiniowania zakresu zdarzeń w każdym dzienniku, gdzie Początek i Koniec to liczby całkowite większe od 0 (zera).
  • : Parametry -format table | list | csv: Ten parametr pozwala określić format wyjściowy. W razie pominięcia tego parametru skrypt Eventquery.pl użyje formatu tabeli.
  • : Parametry -v : Ten parametr służy do dodania sekcji Dane i Opis dotyczących zdarzeń w wyświetlanych informacjach.
  • : Parametry -filter "Wartość operatora filtru" [-filter "Wartość operatora filtru" ...]: Ten parametr pozwala określić kryteria wyświetlania zdarzeń. W razie pominięcia tego parametru wyświetlane są wszystkie zdarzenia. Dla każdego określanego kryterium należy użyć osobnego wystąpienia parametru -filter "Wartość operatora filtru" i oddzielić poszczególne parametry spacjami.

    Poniższa tabela zawiera wszystkie operatory i wartości, które są dopuszczalne dla każdego pola użytego wraz z parametrem -filter. W tabeli zamieszczono również przykłady poszczególnych parametrów "Wartość operatora filtru":
Zwiń tę tabelęRozwiń tę tabelę
Pole Operator Wartość Przykład
Type = ! Error | Information | Warning (dzienniki systemu i aplikacji) | SuccessAudit lub FailureAudit (dziennik zabezpieczeń) "Type=Error"
DateTime Wszystkie operatory logiczne Data w formacie mm/dd/[rr]rr lub Data:Godzina w formacie mm/dd/[rr]rr:hh:[mm:[ss]] "datetime>02/08/2002:23:59:59"
Source = ! Nazwa składnika, który zarejestrował zdarzenie "source=Service Control Manager"
Category = ! Prawidłowa klasyfikacja zdarzenia "category=Policy Change"
ID Wszystkie operatory logiczne Identyfikator zdarzenia "ID!88"
Computer = ! Prawidłowa nazwa komputera "computer=serwer2"


Przykłady

  • Aby wyświetlić wszystkie zdarzenia w dzienniku aplikacji na komputerze lokalnym w domyślnym formacie tabeli, w wierszu polecenia należy wpisać następujący wiersz, a następnie nacisnąć klawisz ENTER:
    eventquery.pl application
  • Aby wyświetlić szczegóły wszystkich zdarzeń w dziennikach systemu i serwera DNS na komputerze o nazwie Serwer8 w formacie listy, w wierszu polecenia należy wpisać następujący wiersz, a następnie nacisnąć klawisz ENTER:
    eventquery.pl system "dns server" -s serwer8 -format list -v
  • Aby uruchomić skrypt Eventquery.pl, używając konta administratora, i wyświetlić zdarzenia w dzienniku zabezpieczeń na komputerze Serwer5 w formacie rozdzielanym przecinkami oraz przekierować dane wynikowe do pliku o nazwie Srv5_Sec.csv na dysku E, w wierszu polecenia należy wpisać następujący wiersz, a następnie nacisnąć klawisz ENTER:
    eventquery.pl security -s serwer5 -u moja_domena\administrator -p moje_hasło -format csv > e:\srv5_sec.csv
  • Aby wyświetlić szczegółową listę zdarzeń we wszystkich dziennikach zdarzeń na komputerze lokalnym, które zostały zarejestrowane między 8:00 a 8:20 8 lutego 2002 r., w formacie listy, w wierszu polecenia należy wpisać następujący wiersz, a następnie nacisnąć klawisz ENTER:
    eventquery.pl * -format list -v -filter "datetime>02/08/2002:8:00" -filter "datetime<02/08/2002:08:20"
  • Aby wyszukać w dzienniku systemu wystąpienia zdarzenia Ochrony plików systemu Windows o identyfikatorze 64004 i wyświetlić zdarzenia w domyślnym formacie tabeli, w wierszu polecenia należy wpisać następujący wiersz, a następnie nacisnąć klawisz ENTER:
    eventquery.pl system -filter "source=windows file protection" -filter "id=64004" -v
  • Aby wyświetlić pięć najnowszych zdarzeń z dziennika aplikacji na komputerze o nazwie Serwer8 w domyślnym formacie tabeli oraz przekierować dane wynikowe do pliku App_nowe.txt, w wierszu polecenia należy wpisać następujący wiersz, a następnie nacisnąć klawisz ENTER:
    eventquery.pl application -s serwer8 -range 5 > app_nowe.txt
  • Aby wyświetlić wszystkie zdarzenia dotyczące błędów (oprócz zdarzeń o identyfikatorze 100), które zostały zarejestrowane w dzienniku aplikacji przez program o nazwie MojaAplikacja, w formacie rozdzielanym przecinkami oraz przekierować dane wynikowe do pliku o nazwie C:\MojaAplikacja\Errors.csv, w wierszu polecenia należy wpisać następujący wiersz, a następnie nacisnąć klawisz ENTER:
    eventquery.pl application -filter "type=error" -filter "source=mojaaplikacja" -filter "id!100" -format csv > c:\mojaaplikacja\errors.csv

Rozwiązywanie problemów

Podczas próby uruchomienia skryptu Eventquery.pl pojawia się następujący komunikat o błędzie:
ERROR: Wmi.pm is required to run the script.
Copy Wmi.pm from the Resource Kit directory to /Perl/site/lib/W2RK.
Takie zachowanie może wystąpić, jeśli komputer nie jest poprawnie skonfigurowany do uruchamiania skryptów w języku Perl, które znajdują się w dodatku Windows 2000 Resource Kit Supplement 1. Aby użyć skryptu Eventquery.pl, w folderze Folder instalacyjny programu Perl\Site\Lib musi istnieć folder W2rk, który musi zawierać plik Wmi.pmi.

Aby rozwiązać ten problem, należy ręcznie skonfigurować środowisko, w którym wykonywane są skrypty języka Perl:
  1. W folderze Folder instalacyjny program Perl\Site\Lib utwórz folder o nazwie W2rk.

    UWAGA: Domyślnym folderem instalacyjnym programu Perl jest dysk:\Perl, gdzie dysk to litera dysku, na którym jest zainstalowany system Windows.
  2. Skopiuj plik Wmi.pmi z folderu, w którym jest zainstalowany zestaw Windows 2000 Resource Kit (zwykle \Program Files\Resource Kit), do folderu W2rk utworzonego w kroku 1.
Podczas uruchamiania skryptu Eventquery.pl w oknie wiersza polecenia może być wyświetlony jeden lub więcej komunikatów podobnych do następującego:
INFO: No 'NazwaDziennikaZdarzeń' log entries satisfy filter criteria.
Taki objaw oznacza, że skrypt Eventquery.pl nie znalazł w dzienniku zdarzeń żadnych wpisów, które pasują do określonych kryteriów filtrowania.

Materiały referencyjne

For additional informationabout how to view and manage logs in Event Viewer, click the following article numbers to view the articles in the Microsoft Knowledge Base:
302542 JAK: Diagnozowanie problemów z systemem przy użyciu Podglądu zdarzeń w systemie Microsoft Windows 2000
315417 JAK: Przenoszenie plików dzienników Podglądu zdarzeń do innej lokalizacji w systemie Windows 2000
For additional information, click the following article number to view the article in the Microsoft Knowledge Base:
315410 JAK: Tworzenie i rejestrowanie zdarzeń niestandardowych w Podglądzie zdarzeń przy użyciu narzędzia rejestrowania zdarzeń (Logevent.exe)
Aby uzyskać więcej informacji dotyczących zestawu Windows 2000 Resource Kit, odwiedź następującą witrynę sieci Web firmy Microsoft:
Zestaw Windows 2000 Resource Kit, książki online i materiały referencyjne

http://www.microsoft.com/windows2000/techinfo/reskit/default.asp#section1

Właściwości

Numer ID artykułu: 317381 - Ostatnia weryfikacja: 19 września 2003 - Weryfikacja: 3.1
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
Słowa kluczowe: 
kberrmsg kbhowto kbhowtomaster KB317381

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com