如何使用 「 事件日誌管理指令碼工具 (Eventlog.pl) 來管理 Windows 2000 中的事件日誌

文章翻譯 文章翻譯
文章編號: 318763 - 檢視此文章適用的產品。
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援的結束 2010 7 月 13,Windows 2000 End-of-Support Solution Center 是規劃您的遷移策略,從 Windows 2000 的起點。如需詳細資訊請參閱 Microsoft Support Lifecycle Policy]。
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援的結束 2010 7 月 13,Windows 2000 End-of-Support Solution Center 是規劃您的遷移策略,從 Windows 2000 的起點。如需詳細資訊請參閱 Microsoft Support Lifecycle Policy]。
全部展開 | 全部摺疊

在此頁中

結論

本文將告訴您,如何使用事件記錄檔管理指令碼工具 (Eventlog.pl) 來管理事件檢視器記錄檔中的 Windows 2000 電腦。

事件是在電腦或程式需要通知任一使用者] 或 [項目加入至記錄檔的顯著發生點。在 [事件檢視器應用程式、 安全性及系統記錄檔事件日誌服務記錄事件。此外,事件寫入目錄服務,而檔案複寫服務登入網域控制站與 DNS 伺服器上的 DNS 伺服器記錄檔。若要取得您的硬體、 軟體和系統元件的相關資訊,並監視安全性事件,在本機或遠端電腦上的,您可以使用事件檢視器。您可以使用事件記錄檔,來識別和診斷目前電腦問題的來源,或協助您預測潛在的電腦問題。

Eventlog.pl 功能於 Windows 2000 資源套件補充 1年。 您可以使用這個指令碼工具來執行下列的事件記錄檔管理工作:
  • 變更事件記錄檔的內容。
  • (儲存) 事件記錄檔備份。
  • 匯出到文字檔案的事件清單。
  • 清除 (刪除) 事件記錄中的所有事件。
  • 查詢事件記錄檔的屬性。
重要: 如果您使用 [群組原則] 指定事件記錄檔設定 [不使用 Eventlog.pl。 Eventlog.pl 可以違反事件記錄檔原則,以便在下列群組原則 」 設定網域、 組織單位和站台,可能會變成無效:
  • LogName 記錄檔大小上限
  • LogName 記錄保留天數
  • LogName 記錄保留的方法

Eventlog.pl 的系統需求

Eventlog.pl 在來源電腦上執行,而且目標電腦 (這可能會比來源電腦相同或不同電腦) 上的作用。 您可以使用 Eventlog.pl 來管理本機或遠端電腦的事件記錄檔之前確認對應您有符合需求中下一節所描述的表。

來源電腦

  • 電腦執行 Windows 2000 專業版] 或 [Windows 2000 伺服器。
  • 安裝 ActiveState ActivePerl 建置 521。 此程式均可使用 「 Windows 2000 資源工具箱 」。

    電腦必須也正確地設定為執行 Windows 2000 資源套件補充 1年中所包含的 Perl 指令碼。資源套件 WMI 提供者模組 Wmi.pm,必須放在 Perl Installation Folder \Site\Lib\W2rk 資料夾中。資源套件安裝程式通常會建立 W2rk 資料夾,並將 Wmi.pm 檔案複製到這個資料夾。

    未在安裝期間自動建立 W2rk 資料夾,您就可以手動建立它,並設定在其中執行 Eventlog.pl 環境。 如需有關如何執行這項操作的詳細資訊,請參閱本文稍後的節 Troubleshooting]。
  • 您必須登入為系統管理員群組的成員如果您想要檢視安全性記錄檔事件,或變更或清除事件記錄檔。

目標電腦

目標電腦必須執行 Windows 2000 專業版] 或 [Windows 2000 伺服器。

Eventlog.pl 的概觀

Eventlog.pl 請使用下列的一般語法其中 -operation 是您可以傳遞給指令碼的下列命令之一:
eventlog.pl -operation
下列清單說明您可以使用具有 Eventlog.pl 每項作業:
-變更:使用這個操作來變更的事件記錄檔內容。
-備份:使用這個操作來建立事件記錄檔的備份複本。
-匯出:使用這項作業將事件清單儲存到文字檔。
-清除:您可以使用這項作業,從事件記錄檔刪除所有事件。
-查詢:使用這項作業來顯示事件記錄檔的內容。
每個作業使用它自己的語法。

變更

eventlog.pl-變更 陳述式使用下列語法:
eventlog.pl-變更 eventlog[...eventlog] | * [[-u domain\user-p password] -s computer] [-setmaxsize size] [-setbehavior asneeded | olderthan x | 永遠不] [-還原]
您可以使用下列參數具有 eventlog.pl-變更
  • eventlog[...eventlog] | *: 使用這個參數來指定您想要變更的事件記錄檔。 如果想變更兩個或多個事件記錄檔以空格分隔每個記錄檔。 如果想變更所有的事件記錄檔使用萬用字元 (*)。 如果事件記錄檔名稱中包含空格括住名稱加上英文引號 ("")。
  • -s computer: 使用這個參數指定名稱或遠端電腦的網際網路通訊協定 (IP) 位址。 如果您省略這個參數,指定本機電腦。
    • -u domain\user: 使用這個參數來指定用來執行 Eventlog.pl 使用者帳戶。 如果您省略這個參數,Eventlog.pl 會使用目前登入使用者的權限。 如果您將這個參數使用也必須使用 -p 參數以提供使用者的密碼。
    • -p password: 使用這個參數可以指定由指定之使用者帳戶的密碼將 -u 參數。 -p 參數時,需要您使用 -u 參數。

      注意: 兩者都在 -p-u 參數都可以使用僅當您使用 -s 參數。
  • -setmaxsize size: 使用這個參數來指定事件記錄檔的大小上限 (KB)。 此值代表整數值,是 64 的倍數,而對應的事件記錄檔] 的 [內容] 對話方塊中 記錄檔大小最大值 項目。
  • -setbehavior asneeded | olderthan x | 從未: 使用這個參數可以判斷當事件記錄檔達到其大小的最大值時採取的動作。
    • asneeded: 如果您要用新事件覆寫記錄檔中最舊的事件,請使用這個參數。
    • olderthan x: 如果您想要覆寫比 x,此處 x 代表天數還舊的事件,請使用這個參數。 如果記錄檔已滿,且存在數它們都沒有舊覆寫事件將會捨棄新的事件。
    • 永不: 使用此參數來指定您不想覆寫事件。 當記錄檔已滿時,會捨棄新的事件。若要將新的事件記錄,您必須清除記錄檔。
    此設定會對應到 當到達記錄檔最大容量 的項目在事件記錄檔內容。

  • -還原: 使用這個參數,將最大記錄檔大小設定為 512 KB,並指定會覆寫事件舊於七天。 這個參數是相當於按一下 [事件記錄檔屬性中的 [還原成預設值

    注意: -還原 參數的優先性高於 -setmaxsize-setbehavior 參數。當您使用 -還原] 參數任何 -setmaxsize-setbehavior 命令中的參數會被忽略。

備份

eventlog.pl-備份 陳述式使用下列語法:
eventlog.pl-備份 eventlog [ eventlog...] | * [ -s computer [ -u domain\user -p password]] [-format evt| txt | csv] [-file file [ -file file...]]
您可以使用下列參數具有 eventlog.pl-備份
  • eventlog[...eventlog] | *: 使用這個參數來指定您想要備份的事件記錄檔。 若想備份兩個或多個事件記錄檔以空格分隔每個記錄檔。 若想備份所有的事件記錄檔使用萬用字元 (*)。 如果事件記錄檔名稱中包含空格會將它包含加上英文引號 ("")。
  • -s computer: 使用這個參數指定名稱或遠端電腦的 IP 位址。 如果您省略這個參數,指定本機電腦。
    • -u domain\user: 使用這個參數來指定用來執行 Eventlog.pl 使用者帳戶。 如果您省略這個參數,Eventlog.pl 會使用目前登入使用者的權限。 如果您將這個參數使用也必須使用 -p 參數以提供使用者的密碼。
    • -p password: 使用這個參數可以指定由指定之使用者帳戶的密碼將 -u 參數。 -p 參數時,需要您使用 -u 參數。

      注意: 兩者都在 -p-u 參數都可以使用僅當您使用 -s 參數。
  • -格式化 evt | txt | csv: 使用這個參數可以指定的事件記錄檔備份的格式。 如果您省略這個參數,Eventlog.pl 使用 evt 格式。

    注意
    • Evt 格式化記錄檔包含不會儲存在其他的記錄檔格式的二進位資料。
    • 您無法備份遠端使用 evt 格式的事件記錄檔。 若要備份遠端記錄檔,使用 txt 或 csv 格式。
  • -檔案 file[-檔案 file]: 使用這個參數可以使用下列格式來指定事件記錄檔的複本備份名稱: Drive: \ Path \ Filename。 如果您省略這個參數,Eventlog.pl 名稱使用下列格式檔案: Logname.format (比方說 System.evt)。

    如果您使用一個以上的檔案名稱,Eventlog.pl 備份檔案名稱會顯示每個檔案中的順序清單上的一個記錄檔。 您必須列出檔案名稱相同的順序列出在命令中的記錄檔。會忽略額外的檔案名稱。

    如果您在命令中指定記錄檔名稱,您只可以使用 -檔案 參數。 檔案名稱包含萬用字元 (*) 時,這個參數不正確。

匯出

eventlog.pl-匯出 陳述式使用下列語法:
eventlog.pl-匯出 eventlog [ eventlog...] | * [ -s computer [ -u domain\user -p password]] [-format txt | csv] [-file file [ -file file...]]
您可以使用下列參數具有 eventlog.pl-匯出
  • eventlog[...eventlog] | *: 使用這個參數來指定您想要匯出事件記錄檔。 若想匯出兩個或多個事件記錄檔以空格分隔每個記錄檔。 若想匯出所有的事件記錄檔使用萬用字元 (*)。 如果事件記錄檔名稱中包含空格會將它包含加上英文引號 ("")。
  • -s computer: 使用這個參數指定名稱或遠端電腦的 IP 位址。 如果您省略這個參數,指定本機電腦。
    • -u domain\user: 使用這個參數來指定用來執行 Eventlog.pl 使用者帳戶。 如果您省略這個參數,Eventlog.pl 會使用目前登入使用者的權限。 如果您將這個參數使用也必須使用 -p 參數以提供使用者的密碼。
    • -p password: 使用這個參數可以指定由指定之使用者帳戶的密碼將 -u 參數。 -p 參數時,需要您使用 -u 參數。

      注意: 兩者都在 -p-u 參數都可以使用僅當您使用 -s 參數。
  • -格式化 txt | csv: 使用這個參數來指定匯出的檔案格式。 如果您省略這個參數,Eventlog.pl 使用 txt 格式。
  • -檔案 file[-檔案 file]: 使用這個參數可以藉由使用下列格式指定匯出的檔案名稱: Drive: \ Path \ Filename。 如果您省略這個參數,Eventlog.pl 名稱使用下列格式檔案: Logname.format (比方說 Application.txt)。

    如果您使用一個以上的檔案名稱,Eventlog.pl 匯出檔案名稱會顯示每個檔案中的順序清單上的一個記錄檔。 您必須列出檔案名稱相同的順序列出在命令中的記錄檔。會忽略額外的檔案名稱。

    如果您在命令中指定記錄檔名稱,您只可以使用 -檔案 參數。 檔案名稱包含萬用字元 (*) 時,這個參數不正確。

清除

eventlog.pl-清楚 陳述式使用下列語法:
eventlog.pl-清除 eventlog [ eventlog...] | * [ -s computer [ -u domain\user -p password]]
您可以使用下列參數具有 eventlog.pl-清楚
  • eventlog[...eventlog] | *: 使用這個參數來指定您想要清除事件記錄檔。 若想清除兩個或多個事件記錄檔以空格分隔每個記錄檔。 如果要清除所有事件記錄檔使用萬用字元 (*)。 如果事件記錄檔名稱中包含空格會將它包含加上英文引號 ("")。
  • -s computer: 使用這個參數指定名稱或遠端電腦的 IP 位址。 如果您省略這個參數,指定本機電腦。
    • -u domain\user: 使用這個參數來指定用來執行 Eventlog.pl 使用者帳戶。 如果您省略這個參數,Eventlog.pl 會使用目前登入使用者的權限。 如果您將這個參數使用也必須使用 -p 參數以提供使用者的密碼。
    • -p password: 使用這個參數可以指定由指定之使用者帳戶的密碼將 -u 參數。 -p 參數時,需要您使用 -u 參數。

      注意: 兩者都在 -p-u 參數都可以使用僅當您使用 -s 參數。

查詢

eventlog.pl-查詢 陳述式使用下列語法:
eventlog.pl-查詢 eventlog[...eventlog] | * [[-u domain\user-p password] -s computer] [格式化表格- | 清單 | csv] [-v]
您可以使用下列參數與 eventlog.pl-查詢
  • eventlog[...eventlog] | *: 使用這個參數來指定您想要查詢的事件記錄檔。 如果想搜尋兩個或多個事件記錄檔以空格分隔每個記錄檔。 如果想搜尋所有的事件記錄檔使用萬用字元 (*)。 如果事件記錄檔名稱中包含空格會將它包含加上英文引號 ("")。
  • -s computer: 使用這個參數指定名稱或遠端電腦的 IP 位址。 如果您省略這個參數,指定本機電腦。
    • -u domain\user: 使用這個參數來指定用來執行 Eventlog.pl 使用者帳戶。 如果您省略這個參數,Eventlog.pl 會使用目前登入使用者的權限。 如果您將這個參數使用也必須使用 -p 參數以提供使用者的密碼。
    • -p password: 使用這個參數可以指定由指定之使用者帳戶的密碼將 -u 參數。 -p 參數時,需要您使用 -u 參數。

      注意: 兩者都在 -p-u 參數都可以使用僅當您使用 -s 參數。
  • -設定表格的格式 | 清單 | csv: 使用這個參數來指定輸出格式。 如果您省略這個參數,Eventlog.pl 會根據預設值使用資料表的格式。
  • -v: 將 CreationDate、 LastModified、 LastAccessed、 MaxLogSize 及 LogBehavior] 欄位新增到顯示使用這個參數。

範例

  • 2688 KB 到本機電腦上設定系統記錄檔的大小上限並指定新的事件記錄檔已滿時所覆寫最舊的事件,輸入下列命令並按下 ENTER:
    eventlog.pl-變更系統-setmaxsize 2688-setbehavior asneeded
  • 若要還原在名為在 [Corp Server8 遠端電腦上的所有事件記錄檔的大小使用系統管理員帳戶執行 Eventlog.pl 網域最多記錄檔大小為 512 KB,並指定超過七天會被覆寫,如果該記錄檔已滿,較舊的事件在命令提示字元下輸入下列命令,並按下 ENTER:
    eventlog.pl-變更 *-s server8-u corp\administrator-p password-還原
  • 若要備份使用預設 evt 格式和檔案名稱 (Dns Server.evt) 的本機電腦的 DNS 伺服器記錄檔,在命令提示字元下輸入下列命令並按下 ENTER:
    eventlog.pl-備份 「 dns 伺服器 」
  • 若要從使用預設 txt 格式和檔案名稱 (System.txt) 的本機電腦的系統記錄檔,匯出事件,在命令提示字元下輸入下列命令並按下 ENTER:
    eventlog.pl-匯出系統
  • 以清除從應用程式及系統記錄檔,名為 Server5 之電腦的所有事件,請在命令提示字元下輸入下列行按下 ENTER:
    eventlog.pl-清除應用程式系統-s server5
  • 以顯示名 Server8 為清單格式之電腦的所有事件記錄檔的內容並將輸出重新導向到 D:\Reports\Srv8logs.log 檔案,在命令提示字元下輸入下列命令然後按 ENTER 鍵:
    eventlog.pl-查詢 *-格式化清單-v > d:\reports\srv8logs.log

疑難排解

當想執行 Eventlog.pl 會收到下列錯誤訊息:
錯誤: Wmi.pm,才能執行指令碼。
Wmi.pm 複製到 /Perl/site/lib/W2RK 資源工具箱 」 目錄。
如果電腦不正確地設定來執行包含在 Windows 2000 資源套件補充 1年的 Perl 指令碼,就會發生這個問題。 若要用以 Eventlog.pl W2rk 資料夾必須存在 Perl Installation Folder \site\lib 資料夾中,而且它必須包含 Wmi.pm 檔案。

若要解決這個問題,手動設定在其中執行 Perl 指令碼環境:
  1. 建立一個名為 W2rk Perl Installation Folder \Site\Lib 資料夾中的資料夾。

    注意Perl Installation Folder 的預設值是 Drive: \Perl 其中 Drive 是磁碟機安裝 Windows。
  2. 從在其中安裝 Windows 2000 資源工具箱 」 (依預設為程式 Files\Resource 套件) 資料夾 Wmi.pm 檔案複製到您在步驟 1 中建立 W2rk 資料夾。

?考

如需有關如何使用事件查詢指令碼工具 (Eventquery.pl) 來顯示事件從事件檢視器記錄檔的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
317381如何使用 Microsoft Windows 2000 中的事件查詢指令碼工具 (Eventquery.pl)
如需有關如何使用 「 事件公用程式記錄 」 (Logevent.exe) 來建立,以及記錄檔的自訂事件的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
315410如何建立及自訂事件記錄在 「 事件檢視器 」 在 Windows 2000 中使用事件記錄的公用程式 (Logevent.exe)
如需有關如何檢視及管理在 「 事件檢視器 」 中的記錄檔的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件]:
302542如何診斷系統問題,以在 Microsoft Windows 2000 事件檢視器
315417如何將事件檢視器記錄檔移到另一個在 Windows 2000 及 Windows Server 2003 中的位置
如需有關 Windows 2000 資源工具箱 」 的詳細資訊,請造訪下列 Microsoft 網站]:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx

屬性

文章編號: 318763 - 上次校閱: 2006年10月30日 - 版次: 7.4
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
關鍵字:?
kbmt kbhowto kbhowtomaster KB318763 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:318763
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com