Команда eventquery позволяет получить информацию про событие из локального или удаленного журнала событий. Этот инструмент позволяет выполнять поиск событий на основе таких данных:
- Дата и время
- Идентификатор событий
- Тип
- Пользователь
- Компьютер
Если в системе не запущены инструменты наблюдения за событиями, можно создать пакетный файл, который регулярно будет запускать утилиту eventquery и получать критические системные события от удаленной системы. Если перенаправить вывод команды в текстовый файл или файл протокола, то его можно проверять каждые две недели или каждую неделю, чтобы заранее определить, что в работе системы возникли неполадки.
После рассмотрения вариантов применения команды eventquery можно ознакомится с синтаксисом этой команды:
eventquery.vbs [/s <удаленная_система>] [/u <домен\пользователь>] [/p <пароль>] [/fi <фильтр>] [/fo <table|list|csv] [/r <диапазон>] [/l <имя_протокола>]
Параметры команды eventquery
Параметр |
Использование |
/s <удаленная_система> |
указывает имя или адрес IP удаленной системы, на которой выполняется запрос |
/u <домен\пользователь> |
позволяет выполнить команду в контексте другого пользователя |
/p <пароль> |
при использовании параметра /u этот параметр позволяет указать пароль учетной записи пользователя |
/fo <table|list|csv> |
Используется для указания формата вывода команды (по умолчанию используется значение table) |
/fi <filter> |
позволяет использовать один из фильтров, описанных в таблице ниже, для поиска событий определенного типа |
/r <диапазон> |
позволяет указать количество событий, которые будут отображаться. Положительное целое значение указывает на самые последние события, а отрицательное целое значение указывает на самые первые события. Например, значение диапазона, равное 15, приведет к отображению 15 последних событий. Значение диапазона, равное -8, приведет к отображению первых восьми событий |
/l <имя_журнала> |
позволяет указать имя журнала, к которому будет выполняться запрос (application, system, security и т.д.) Символ * позволяет выбрать нескольких журналов одновременно |
Действительные фильтры и операторы команды eventquery
Фильтр |
Оператор |
Допустимые значения |
Category |
eq, ne |
Любая строка символов |
Computer |
eq, ne |
Любая строка символов |
Datetime |
eq, ne, ge, le, gt, lt |
11/12/2010, ÷÷:06:00 (AM|PM) |
ID |
eq, ne, ge, le, gt, lt, or |
Любое положительное целое |
Source |
eq, ne |
Любая строка символов |
Type |
eq, ne |
Error | Information | Warning | SuccessAudit | FailureAudit |
User |
eq, ne |
Любая строка символов |
Оператор or используется для обозначения функции OR. Например, для фильтрации идентификатора события 5719 или 2506 необходимо воспользоваться таким параметром при выполнении команды:
/fi "ID eq 5719 or ID eq 2506"
Помните, что из-за того, что команда eventquery является сценарием Visual Basic, ее необходимо выполнять с помощью cscript и вызывать только в каталоге, где находится сама команда (то есть, в каталоге System32).
Вот два примера использования команды eventquery для осуществления запросов событий.
Чтобы проверить проверки наличия критических (ошибочных) событий на компьютере www.microsoft.com введите такую команду:
eventquery.vbs /s www.microsoft.com /l system /fi "type eq error"
Введите такую команду запроса всех событий в локальном журнале безопасности:
eventquery.vbs /l security
В следующей статье мы расскажем об использовании очередной утилиты для диагностики системы – утилиты командной строки eventtriggers.