Использование средства сценария запроса событий (Eventquery.pl) в Microsoft Windows 2000

Переводы статьи Переводы статьи
Код статьи: 317381 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описывается использование средства сценария запроса событий (файл Eventquery.pl) для отображения событий в журналах просмотра событий компьютеров под управлением Microsoft Windows 2000.

Событие — это любое значительное происшествие в системе или в программе, которая требует, чтобы пользователи получать уведомления или требует, чтобы элемент был сделан в журнал. Служба журнала событий события записи в журналы приложений, безопасности и системы в окне просмотра событий. Кроме того записи событий службы каталогов и служба репликации файлов журналов на контроллерах домена, а также журнал сервера DNS на серверах доменных имен (DNS).

В окне просмотра событий, можно получить сведения об оборудовании, программного обеспечения и системных компонентов и наблюдения за событиями безопасности на локальном или удаленном компьютере. Журналы событий могут помочь определить и выявить источника текущих системных неполадок и прогнозирования возможных проблем в системе справки.

Системные требования для Eventquery.pl

Средство Event Query сценарий доступен в 1 дополнительный пакет ресурсов Microsoft Windows 2000. Это средство сценарий выполняется на компьютере-источнике и действует на конечном компьютере (который может быть в том же компьютере, как на исходном компьютере). Перед тем как использовать это средство для выполнения запроса, журналы событий из локального или удаленного компьютера, должны быть соблюдены следующие требования:

Исходный компьютер

  • Компьютер работает в Windows 2000 Professional или Windows 2000 Server.
  • Построение-521 ActiveState ActivePerl установлен. Эта программа доступна в Windows 2000 Resource Kit.

    Также компьютер должен быть правильно настроен для выполнения сценариев на Perl, которые включены в дополнительный 1 пакета ресурсов Windows 2000. Модуль поставщика Resource Kit WMI, Wmi.pm, должны находиться вПапка установки PerlПапка \Site\Lib\W2rk. Программа установки пакета ресурсов обычно создает папку W2rk и Wmi.pm файл копируется в эту папку.

    Если программа установки не создается автоматически в папку W2rk, вручную создать и настроить среду выполнения Eventquery.p. Для получения дополнительных сведений о том, как это сделать, см.ПОИСК И УСТРАНЕНИЕ НЕПОЛАДОКв разделе этой статьи.
  • Необходимо войти качестве члена группы «Администраторы» для просмотра журнала событий безопасности.

Конечный компьютер

  • Компьютер работает в Windows 2000 Professional или Windows 2000 Server

Общие сведения о Eventquery.pl

Eventquery.PL используется следующий синтаксис:
Eventquery.PLEventlog[Eventlog...] |*[-sимя_компьютера[-uДомен\Пользователь-ppassword»]] [-диапазонn».|-n|Начало конец][-Формат таблицы|LIST|CSV] [-v][-фильтр"FieldOperatorValue"[-фильтр"FieldOperatorValue"...]]
Ниже приведены параметры, которые можно использовать с Eventquery.pl.
  • Eventlog[Eventlog...] | *: Используйте этот параметр, чтобы указать журналы событий, который требуется найти. Если требуется выполнить поиск двух или нескольких журналов событий, введите пробел каждого журнала. Если требуется выполнить поиск всех журналов событий, используйте подстановочный знак (*). Если имя журнала событий содержит пробелы, заключите имя в прямые кавычки (").
  • -sимя_компьютераСлужит для указания имени или IP-адрес удаленного компьютера. Если этот параметр указан локальный компьютер.
    • -uДомен\ПользовательСлужит для указания учетной записи пользователя, с которой будет выполняться Eventquery.pl. Если этот параметр не задан, Eventquery.pl используются разрешения текущего вошедшего пользователя. При использовании этого параметра необходимо также использовать-pпараметр, введите пароль пользователя.
    • -ppassword»: Этот параметр используется для указания пароля учетной записи пользователя, указанного параметром-uParameter:. надписью-pпараметр является обязательным, если используется-uParameter:.
    Примечание.: Оба-pи-uвходные параметры доступны только при использовании-sParameter:.

  • -диапазонn».|-n|Начало конецСлужит для указания числа событий, из каждого журнала событий. Если этот параметр не задан, Eventquery.pl отображает все события.
    • n».: Используйте эту переменную, чтобы указать самые последниеn».события в каждый журнал, который будет отображаться в порядке убывания, гдеn».целое число больше чем 0 (ноль).
    • -n: Используйте эту переменную для указания последнего (старый)n».события в каждый журнал, который будет отображаться в порядке возрастания, где-nцелое число больше чем 0 (ноль).
    • Начало конец: Используйте эту переменную, чтобы определить диапазон событий в каждом журнале гдеBEGINиEndявляются целыми числами больше 0 (ноль).
  • -Формат таблицы|LIST|CSVСлужит для указания выходного формата. Если этот параметр не задан, Eventquery.pl использует формат таблицы.
  • -vСлужит для добавления данных события и описание разделов на экран.
  • -фильтр"FieldOperatorValue"[-фильтр"FieldOperatorValue"...]: Этот параметр используется для задания условий отбора для событий, которые будут включены в просмотр. Если этот параметр не задан, отображаются все события. Используйте отдельный экземпляр - фильтра"FieldOperatorValue"для каждого условия, которые требуется задать и для каждого параметра следует разделять пробелом.

    В следующей таблице перечислены операторы и значений, доступных для каждого поля, которое используется с-фильтрParameter:. The table also provides an example of each"FieldOperatorValue":
Свернуть эту таблицуРазвернуть эту таблицу
Field:OperatorЗначение:Example:
TYPE := !Error | Information | Warning (System and Application logs) | SuccessAudit or FailureAudit (Security Log)"Type=Error"
DateTimeAll logical operatorsДата:in mm/dd/[yy]yy format orДата::времяin mm/dd/[yy]yy:hh:[mm:[ss[am|pm]]] format"datetime>02/08/2002:11:59:59PM"
Источник:= !Name of the component that logged the event."source=Service Control Manager"
Категория:= !A valid event classification"category=Policy Change"
ID:All logical operators.An event identifier"ID!88"
имя_компьютера= !A valid computer name."computer=server2"


ПРИМЕРЫ

  • To display all events in the Application log of the local computer in the default table format, type the following line at the command prompt, and then press ENTER:
    eventquery.pl application
  • To display details of all events in the System and DNS Server logs of a computer named Server8 in list format, type the following line at the command prompt, and then press ENTER:
    eventquery.pl system "dns server" -s server8 -format list -v
  • To run Eventquery.pl by using the Administrators account to display the events in the Security log of a computer named Server5 in comma-delimited format and redirect the output to a file named Srv5_Sec.csv on drive E, type the following line at the command prompt, and then press ENTER:
    eventquery.pl security -s server5 -uимя_текущего_домена\administrator -pmypassword-format csv > e:\srv5_sec.csv
  • To display a detailed record of events in all event logs of the local computer that were recorded between 8:00 A.M and 8:20 A.M. on February 8, 2002, in list format, type the following line at the command prompt, and then press ENTER:
    eventquery.pl * -format list -v -filter "datetime>02/08/2002:8:00am" -filter "datetime<02 8/2002:08:20am"=""></02>
  • To search the System log for instances of Windows File Protection Event ID 64004 and then display the events in default table format, type the following line at the command prompt, and then press ENTER:
    eventquery.pl system -filter "source=windows file protection" -filter "id=64004" -v
  • To display the five most recent events from the Application log on a computer named Server8 in the default table format and redirect the output to the App_new.txt file, type the following line at the command prompt, and then press ENTER:
    приложение -s Eventquery.PL server8 - диапазон 5 > app_new.txt
  • Чтобы отобразить все события ошибки (кроме Event ID 100), записанных в журнал приложений программа с именем MyApp в формате с разделителями запятыми и перенаправить вывод в файл C:\Myapp\Errors.csv, введите следующую команду и нажмите клавишу ВВОД:
    Eventquery.PL приложения - фильтр «тип = ошибка источник "-Фильтр" = myapp "-Фильтр" идентификатор! 100 "- Формат csv > c:\myapp\errors.csv

ПОИСК И УСТРАНЕНИЕ НЕПОЛАДОК

При попытке запуска Eventquery.pl, появляется следующее сообщение об ошибке:
Ошибка: Wmi.pm необходима для выполнения сценария.
Скопируйте Wmi.pm /Perl/site/lib/W2RK из каталога Resource Kit.
Это может происходить, если компьютер не настроен для выполнения сценариев Perl, включенных в 1 дополнительный пакет Windows 2000 Resource. Чтобы использовать Eventquery.pl, W2rk папки должен существовать вПапка установки Perl\Site\Lib папки и он должен содержать файл Wmi.pmi.

Для решения этой проблемы необходимо вручную настройте среду выполнения сценариев Perl.
  1. Создайте папку с именем W2rk вПапка установки PerlПапка \Site\Lib.

    Примечание.: По умолчаниюПапка установки Perlявляетсятом: \Perl гдетом— диск, на котором установлена операционная система Windows.
  2. Скопируйте файл Wmi.pmi из папки, в которой установлена Windows 2000 Resource Kit (как правило, \Program Files\Resource Kit) W2rk папку, созданную на шаге 1.
При выполнении Eventquery.pl в окно командной строки может появиться одно или несколько сообщений, аналогичный приведенному ниже:
ИНФОРМАЦИЯ: Нет "EventLogName"записи удовлетворяют условиям фильтра.
Это может происходить, если Eventquery.pl не удалось найти все записи журнала событий, удовлетворяющих критериям фильтрации, указанный.

Ссылки

Для получения дополнительных сведений о том, как просматривать и управлять окна просмотра событий щелкните следующие номера статей базы знаний Майкрософт:
302542Диагностика проблем системы в окне просмотра событий в Windows 2000
315417Как переместить файлы журнала в окне просмотра событий в другое место, в Windows 2000 и Windows Server 2003
Дополнительные сведения см. в следующей статье базы знаний Майкрософт::
315410Как использовать средство регистрации событий (Logevent.exe) для создания и пользовательские события журнала в окне просмотра событий Windows 2000
Для получения дополнительных сведений знаний Майкрософт о Windows 2000 Resource Kit посетите следующий веб-узел корпорации Майкрософт::
Windows 2000 Resource Kit, электронная документация и ссылки
http://www.Microsoft.com/TechNet/prodtechnol/windows2000serv/ResKit/Default.mspx

Свойства

Код статьи: 317381 - Последний отзыв: 23 ноября 2010 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Ключевые слова: 
kberrmsg kbhowto kbhowtomaster kbmt KB317381 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:317381

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com