如何使用 Microsoft Windows 2000 中的事件查询脚本工具 (Eventquery.pl)

文章翻译 文章翻译
文章编号: 317381 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文介绍如何使用事件查询脚本工具 (Eventquery.pl 文件) 显示基于 Microsoft Windows 2000 的计算机的事件查看器日志的事件。

事件是系统中, 或在一个需要通知用户的程序中的所有重要事件,或需要进行到一个日志条目。在事件查看器中的应用程序、 安全性,和系统日志事件日志服务记录事件。此外,事件被写入到目录服务,并在域控制器和 $ 域名系统 (DNS) 服务器上的在 DNS 服务器日志文件复制服务登录。

通过事件查看器可以获取有关硬件、 软件和系统组件的信息,并可监视本地或远程计算机上的安全事件。事件日志可以帮助您识别并诊断当前系统问题,并帮助您预测潜在系统问题的原因。

Eventquery.pl 的系统要求

在 Microsoft Windows 2000 资源工具包补充 1年中使用事件查询脚本工具。此脚本工具在源计算机上运行,并在目标计算机 (这可以是源计算机所在的同一台计算机) 上的作用。然后您才能使用此工具查询的本地事件日志或在远程计算机必须满足以下要求:

源计算机

  • 计算机正在运行 Windows 2000 专业版或 Windows 2000 Server。
  • 安装 ActiveState ActivePerl 生成 521。此程序是在 Windows 2000 资源工具箱中可用。

    计算机还必须正确配置运行 Windows 2000 资源工具包补充 1年中所包含 Perl 脚本中。资源工具包 WMI 提供程序模块 Wmi.pm,必须 Perl Installation Folder \Site\Lib\W2rk 文件夹中。资源工具包安装程序通常创建 W2rk 文件夹,并将 Wmi.pm 文件复制到此文件夹。

    如果设置不会自动创建 W2rk 文件夹,您可以手动创建并配置要在其中运行 Eventquery.p 环境。 有关如何执行此操作的详细信息请参阅本文内下文中的 Troubleshooting 部分。
  • 您必须为要查看安全日志事件管理员组的成员登录。

目标计算机

  • 计算机正在运行 Windows 2000 专业版或 Windows 2000 Server

Eventquery.pl 的概述

Eventquery.pl 使用以下语法:
EventLog eventquery.pl[...EventLog] | * [-s Computer [-u Domain\User-p Password]] [-n 的范围 | -n | Begin-End] [-设置表格格式 | 列表 | csv] [-v] [-筛选器 "FieldOperatorValue" [-筛选器 "FieldOperatorValue"...]]
您可以使用与 Eventquery.pl 的参数如下所示:
  • EventLog[...EventLog] | *: 使用此参数指定您要搜索的事件日志。如果要搜索两个或多个事件日志,请用空格分隔每个日志。如果要搜索所有的事件日志使用通配符 (*)。如果事件日志名称中包含空格将名称加上引号 (") 括起来。
  • -s Computer: 使用此参数指定名称或远程计算机的 IP 地址。如果省略了此参数指定在本地计算机。
    • -u Domain\User: 使用此参数指定用来运行 Eventquery.pl 用户帐户。 如果省略了此参数 Eventquery.pl 将使用当前登录的用户的权限。 如果您使用此参数,则必须也使用该 -p 参数来提供用户的密码。
    • -p Password: 使用此参数指定所指定的用户帐户的密码在 -u 参数。 在 -p 参数是必需的如果您使用该 -u 参数。
    : 两个在 -p-u 参数是可用的只有当您使用该 -s 参数。

  • -范围 n | -n | Begin-End: 使用此参数指定的每个事件日志中出现的事件数。如果省略了此参数 Eventquery.pl 显示的所有事件。
    • n: 使用此变量以指定最新的 n 事件,在每个日志将按降序其中 n 是大于 0 (零) 的整数的顺序显示。
    • -n: 使用此变量在将要出现在按升序顺序,其中 -n 大于 0 (零) 的整数中的每个日志指定最后一次 (最早的) 的 n 事件。
    • Begin-End: 使用此变量在每个日志,定义的事件的范围 BeginEnd 位置是完整的数字大于 0 (零)。
  • 设置表格的格式- | 列表 | csv: 使用此参数指定输出格式。如果省略了此参数 Eventquery.pl 使用表的格式。
  • -v: 使用此参数将添加到显示中事件数据和说明部分。
  • - "FieldOperatorValue" 进行筛选[-筛选器 "FieldOperatorValue"...]: 使用此参数指定包括在 $ 显示中的事件的条件。如果省略了此参数将显示所有的事件。 为每个要为其指定的条件中使用的筛选器 "FieldOperatorValue" 的单独的实例,用空格分隔每个参数。

    下表列出了运算符和可用于与 筛选器- 参数一起使用的每个字段的值。表还提供了每个 "FieldOperatorValue" 的一个示例:
收起该表格展开该表格
字段运算符示例
类型= !错误 | 信息 | 警告 (系统和应用程序日志) | SuccessAudit 或 FailureAudit (安全日志)"类型 = 错误"
日期时间所有逻辑运算符mm/dd 中的 Date / [yy] yy 格式或 DateTime 以毫米/dd / [yy] yy:hh: [毫米: [ss [am|pm]]] 格式"日期时间 > 02/08/2002:11:59:59 PM"
= !记录该事件的组件的名称。"源 = 服务控制管理器"
类别= !一个有效的事件分类"类别 = 策略更改"
ID所有逻辑运算符。事件标识符"ID! 88"
计算机= !有效的计算机的名称。"计算机 = server2"


示例

  • 若要在本地计算机中默认的表格格式的应用程序日志中显示的所有事件,命令提示符下键入以下行,然后按 ENTER 键:
    eventquery.pl 应用程序
  • 名 Server8 为列表格式中的计算机的系统和 DNS 服务器日志中显示的所有事件的详细信息,命令提示符下键入以下行,然后按 ENTER 键:
    eventquery.pl 系统"dns 服务器"-s server8-格式列表-v
  • 要通过显示安全日志的计算机名 Server5 为以逗号分隔的格式中的事件,并将输出重定向到一个名 Srv5_Sec.csv 为驱动器 E 上的文件使用管理员帐户运行 Eventquery.pl,命令提示符下键入以下行,然后按 ENTER 键:
    eventquery.pl 安全-s server5-u mydomain \administrator-p mypassword-设置格式的 csv > e:\srv5_sec.csv
  • 若要显示的所有事件日志中的本地计算机的上午 8: 00 和 2002 年 2 月 8 上午 8: 20 之间采用列表格式的详细的记录的事件命令提示符下键入以下行,然后按 ENTER 键:
    eventquery.pl *-格式列表中的 v 的筛选器"的日期时间 > 02/08/2002:8:00 am"-筛选器"的日期时间 < 02/08/2002:08:20 接收"
  • 若要搜索的 Windows 文件保护事件 ID 64004 实例,然后显示在系统日志事件以默认表格格式、 命令提示符下键入以下行,然后按 ENTER 键:
    eventquery.pl 系统-筛选器"源 = 窗口文件保护"-筛选器"的 id = 64004"-v
  • 若要显示五个最新的事件,从应用程序日志名 Server8 为默认的表格格式中的计算机上,并将输出重定向到 App_new.txt 文件,命令提示符下键入以下行然后按 ENTER 键:
    eventquery.pl 应用程序-s server8-范围 5 > app_new.txt
  • 若要显示除错误以外的所有事件 (事件 ID 100),由逗号分隔的格式中名为 MyApp 程序在应用程序日志中记录并将输出重定向到 C:\Myapp\Errors.csv 文件,命令提示符下键入以下行,然后按 ENTER 键:
    eventquery.pl 应用程序的筛选器"类型 = 错误"-筛选器"的源 = myapp"-筛选器"的 id! 100"的设置格式的 csv > c:\myapp\errors.csv

故障排除

当试图运行 Eventquery.pl 时您会收到以下错误消息:
错误: Wmi.pm 才能运行该脚本。
将 Wmi.pm 从资源工具包目录复制到 /Perl/site/lib/W2RK。
如果计算机未正确配置运行 Windows 2000 资源工具包补充 1年中所包含 Perl 脚本,则会发生此行为。若要用于 Eventquery.pl W2rk 文件夹必须存在 Perl Installation Folder \Site\Lib 文件夹中,并且它必须包含 Wmi.pmi 文件。

若要解决此问题,手动配置要在其中运行 Perl 脚本环境:
  1. 创建一个名为 W2rk Perl Installation Folder \Site\Lib 文件夹中的文件夹。

    : 默认 Perl Installation Folderdrive: \Perl 其中 drive 是其安装 Windows 的驱动器。
  2. 在安装 Windows 2000 资源工具包是的文件夹从复制 Wmi.pmi 文件 (通常,\Program Files\Resource 工具包) W2rk 文件夹在第 1 步中创建的。
您在运行 Eventquery.pl 时您可能会在命令提示符窗口中收到类似于以下内容的一个或多个消息:
信息: 没有 ' EventLogName 日志条目满足筛选条件。
如果 Eventquery.pl 找不到满足您指定的筛选条件的任何事件日志条目,则可能会发生此行为。

参考

有关如何查看和管理在事件查看器中的日志的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
302542诊断系统问题,在 Microsoft Windows 2000 中的事件查看器
315417如何将事件查看器日志文件移到另一个位置,在 Windows 2000 和 Windows Server 2003 中
有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
315410如何创建和自定义的事件记录在 Windows 2000 事件查看器中使用事件日志记录实用程序 (Logevent.exe)
有关 Windows 2000 资源工具包的详细信息,请访问下面的 Microsoft 网站:
Windows 2000 资源工具包、 联机丛书和引用
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx

属性

文章编号: 317381 - 最后修改: 2007年3月2日 - 修订: 6.3
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
关键字:?
kbmt kberrmsg kbhowto kbhowtomaster KB317381 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 317381
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com