如何使用 Microsoft Windows 2000 中的事件查詢指令碼工具 (Eventquery.pl)

文章翻譯 文章翻譯
文章編號: 317381 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文將告訴您,如何使用事件查詢指令碼工具 (Eventquery.pl 檔案) 來顯示從事件檢視器記錄檔中的 Microsoft Windows 2000 電腦的事件。

事件是任何重要的項目,在系統] 或 [需要通知使用者的一個程式中,或是需要的項目進行到記錄檔。在 [事件檢視器應用程式、 安全性及系統記錄檔事件日誌服務記錄事件。而且,事件寫入目錄服務,而檔案複寫服務登入網域控制站與 DNS 伺服器記錄檔,在網域名稱系統 (DNS) 伺服器上。

利用事件檢視器您可以取得硬體、 軟體和系統元件的相關資訊,並可監視安全性事件,在本機或遠端電腦上。事件記錄檔可以幫助您識別和診斷目前系統問題,並協助您預測潛在的系統問題的來源。

Eventquery.pl 的系統需求

事件查詢指令碼工具均可使用 Microsoft Windows 2000 資源套件補充 1年。這個指令碼工具會在來源電腦上執行,並做目標電腦 (這可能會與來源電腦相同的電腦) 上。您可以使用這個工具查詢事件記錄檔的本機或遠端電腦之前,必須符合下列需求:

來源電腦

  • 電腦執行 Windows 2000 專業版] 或 [Windows 2000 伺服器。
  • 安裝 ActiveState ActivePerl 建置 521。此程式均可使用 「 Windows 2000 資源工具箱 」。

    電腦必須也正確地設定為執行 Windows 2000 資源套件補充 1年中所包含的 Perl 指令碼。資源套件 WMI 提供者模組 Wmi.pm,必須放在 Perl Installation Folder \Site\Lib\W2rk 資料夾中。資源套件安裝程式通常會建立 W2rk 資料夾,並將 Wmi.pm 檔案複製到這個資料夾。

    如果安裝程式並不會自動建立 W2rk 資料夾,您就可以手動建立它,並設定在其中執行 Eventquery.p 環境。 如需有關如何執行這項操作的詳細資訊,請參閱本文稍後的節 Troubleshooting]。
  • 您必須登入為系統管理員群組的成員,若要檢視安全性記錄檔事件。

目標電腦

  • 電腦執行 Windows 2000 專業版] 或 [Windows 2000 伺服器

Eventquery.pl 的概觀

Eventquery.pl 使用下列語法:
eventquery.pl EventLog[...EventLog] | * [-s Computer [-u Domain\User-p Password]] [範圍 n- | -n | Begin-End] [-格式化表格 | 清單 | csv] [-v] [-篩選 "FieldOperatorValue" [-篩選 "FieldOperatorValue"...]]
您可以使用具有 Eventquery.pl 參數如下所示:
  • EventLog[...EventLog] | *: 使用這個參數來指定您想要搜尋事件記錄檔。如果想搜尋兩個或多個事件記錄檔以空格分隔每個記錄檔。如果想搜尋所有的事件記錄檔使用萬用字元 (*)。如果事件記錄檔名稱中包含空格請將名稱加上英文引號 (' ') 括住。
  • -s Computer: 使用這個參數指定名稱或遠端電腦的 IP 位址。如果您省略這個參數,指定本機電腦。
    • -u Domain\User: 使用這個參數來指定用來執行 Eventquery.pl 使用者帳戶。 如果您省略這個參數,Eventquery.pl 會使用目前登入使用者的權限。 如果您將這個參數使用也必須使用 -p 參數以提供使用者的密碼。
    • -p Password: 使用這個參數可以指定由指定之使用者帳戶的密碼將 -u 參數。 -p 如果您使用參數,則需要在 -u 參數。
    注意: 兩者都在 -p-u 參數只在您使用時,才可以使用 -s 參數。

  • -n 的範圍 | -n | Begin-End: 使用這個參數來指定顯示從每個事件記錄檔的事件數目。如果您省略這個參數,Eventquery.pl 會顯示所有的事件。
    • n: 使用這個變數來指定最新的 n 事件,在每個記錄檔會出現在遞減其中 n 是大於 0 (零) 的整個數字的順序。
    • -n: 若要指定在每個記錄檔會出現在遞增順序,其中 -n 大於 0 (零) 的整個數字的最後一個 (最舊) 的 n 事件使用這個變數。
    • Begin-End: 使用這個變數可以在每個記錄檔中定義的事件範圍 Begin] 和 [End 是大於 0 (零) 的整個數字。
  • -設定表格的格式 | 清單 | csv: 使用這個參數來指定輸出格式。如果您省略這個參數,Eventquery.pl 使用表格格式。
  • -v: 使用這個參數來將事件資料及描述區段新增至顯示。
  • -篩選 "FieldOperatorValue"[-篩選 "FieldOperatorValue"...]: 使用這個參數來指定準則的顯示畫面中所包含的事件。如果您省略這個參數,出現所有的事件。 適用於您想要指定,每個篩選條件使用個別的-篩選 "FieldOperatorValue" 執行個體,並以空格分隔每個參數。

    下表列出 [運算子] 和 [可用的 篩選- 參數搭配使用的每個欄位的值。表格也會提供一個範例的每個 "FieldOperatorValue"
摺疊此表格展開此表格
欄位運算子範例
型別= !錯誤 | 資訊 | 警告 (系統與應用程式記錄檔) | SuccessAudit 或 FailureAudit (安全性記錄檔)"類型 = 錯誤"
日期時間所有的邏輯運算子公/dd 中的 [Date / [yy] yy 格式化] 或 [DateTime 以公釐/dd / [yy] yy:hh: [公釐: [ss [am|pm]]] 格式「 日期時間 > 02/08/2002:11:59:59 PM"
來源= !記錄事件的元件的名稱。"來源 = 服務控制管理員 」
類別= !有效的事件分類「 類別 = 原則變更"
識別碼所有的邏輯運算子。事件識別項"ID! 88"
電腦= !有效的電腦名稱。"電腦 = server2"


範例

  • 若要在本機電腦預設資料表格式的應用程式記錄檔中顯示所有事件,在命令提示字元下輸入下列命令並按下 ENTER:
    eventquery.pl 應用程式
  • 若要在清單格式中命名 Server8 電腦的 「 系統 」 和 「 DNS 伺服器記錄檔中顯示的所有事件的詳細資料,在命令提示字元下輸入下列命令並按下 ENTER:
    eventquery.pl 系統 「 dns 伺服器 」-s server8-格式清單-v
  • 使用管理員帳戶在安全性記錄檔中的電腦,以逗號分隔的格式中命名 Server5 中顯示事件,以及將輸出重新導向至 E 磁碟機上命名為 Srv5_Sec.csv 檔案,以執行 Eventquery.pl,在命令提示字元下輸入下列命令並按下 ENTER:
    eventquery.pl 安全性-s server5-u mydomain \administrator-p mypassword-格式化 csv > e:\srv5_sec.csv
  • 若要在所有本機電腦的已記錄 8: 00 A.M 與 2002 年 2 月 8,上午 8: 20 之間清單格式的事件日誌中顯示詳細的記錄的事件在命令提示字元下輸入下列命令並按下 ENTER:
    eventquery.pl *-格式清單-v-篩選器 」 的日期時間 > 02/08/2002:8:00 正在"-篩選器 」 的日期時間 < 02/08/2002:08:20 正在"
  • 若要到 Windows 檔案保護事件識別碼 64004 的執行個體和再顯示 [系統記錄檔中搜尋該事件的預設表格格式、 在命令提示字元下輸入下列命令並按下 ENTER:
    eventquery.pl 系統-篩選器 」 來源 = 視窗檔案保護"-篩選"識別碼 = 64004"-v
  • 以顯示五個最新的事件,從應用程式記錄檔預設資料表格式中命名 Server8 的電腦上並將輸出重新導向到 App_new.txt 檔案,在命令提示字元下輸入下列命令然後按 ENTER 鍵:
    eventquery.pl 應用程式-s server8-範圍 5 > app_new.txt
  • 若要顯示所有錯誤事件 (除了事件識別碼 100),由逗號分隔的格式中命名 MyApp 程式在應用程式記錄中記錄,並將輸出重新導向到 C:\Myapp\Errors.csv 檔案,在命令提示字元下輸入下列命令並按下 ENTER:
    eventquery.pl 應用程式-篩選器 」 型別 = 錯誤"-篩選"來源 = myapp 識別碼為"-篩選"! 100"-格式化 csv > c:\myapp\errors.csv

疑難排解

當想執行 Eventquery.pl 會收到下列錯誤訊息:
錯誤: Wmi.pm,才能執行指令碼。
Wmi.pm 複製到 /Perl/site/lib/W2RK 資源工具箱 」 目錄。
如果電腦不正確地設定為執行 Windows 2000 資源套件補充 1年中所包含的 Perl 指令碼,就會發生這個問題。若要用以 Eventquery.pl W2rk 資料夾必須存在 Perl Installation Folder \Site\Lib 資料夾中,而且它必須包含 Wmi.pmi 檔案。

若要解決這個問題,手動設定在其中執行 Perl 指令碼環境:
  1. 建立一個名為 W2rk Perl Installation Folder \Site\Lib 資料夾中的資料夾。

    注意: 預設的 Perl Installation Folderdrive: \Perl 其中 drive 是磁碟機安裝 Windows。
  2. 將安裝 Windows 2000 資源工具箱 」 資料夾中複製 Wmi.pmi 檔案 (通常,\Program Files\Resource 套件) 到您在步驟 1 中建立 W2rk 資料夾。
您在執行 Eventquery.pl 時可能會收到類似下列的一或多個訊息在命令提示字元] 視窗:
資訊: 沒有 'EventLogName' 記錄檔項目滿足篩選準則。
如果 Eventquery.pl 沒有找到任何符合您所指定之篩選準則的事件記錄檔項目,可能就會發生這個問題。

?考

如需有關如何檢視及管理在 「 事件檢視器 」 中的記錄檔的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件]:
302542診斷系統問題,以在 Microsoft Windows 2000 事件檢視器
315417如何將事件檢視器記錄檔移到另一個在 Windows 2000 及 Windows Server 2003 中的位置
如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
315410如何建立及自訂事件記錄在 「 事件檢視器 」 在 Windows 2000 中使用事件記錄的公用程式 (Logevent.exe)
如需有關 Windows 2000 資源工具箱 」 的詳細資訊,請造訪下列 Microsoft 網站]:
Windows 2000 資源工具箱 」、 線上書籍和參考
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx

屬性

文章編號: 317381 - 上次校閱: 2007年3月2日 - 版次: 6.3
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
關鍵字:?
kbmt kberrmsg kbhowto kbhowtomaster KB317381 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:317381
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com