Jak efektywnie przeszukać Dziennik Zdarzeń (Event Log) na jednej lub wielu maszynach?

Praca w środowisku MS Windows niejednokrotnie zmusza nas do przeglądania wpisów w Dzienniku Zdarzeń. Czasem po prostu szukamy „jakichś” informacji, które nas naprowadzą na rozwiązanie problemu, a czasem szukamy konkretnego wpisu (źródła, ID). Choć dziennik zdarzeń nie jest skomplikowanym narzędziem i posiada też funkcje filtrowania, to jednak „przeczesanie” wielu maszyn może być problemem – a już na pewno stratą czasu.

Microsoft udostępnia ciekawy pakiet o nazwie „Account Lockout and Management Tools”, być może znany bardziej pod nazwę „ALTOOLS”, który dedykowany jest problemom z blokującymi się kontami (temat opiszemy niebawem). Zawiera on  komponent  bardziej uniwersalny  – eventcombMT.exe, który użyjemy do bardzo dokładnego przeszukiwania wpisów w Dzienniku Zdarzeń (Event Log)  na jednym lub wielu komputerach.


ALTOOLS – ściągnij za darmo ze strony Microsoftu



Instalacja eventcombMT

Nie ma konieczności dokonywania zmian w systemie. Rozpakowujemy archiwum poprzez uruchomienie pliku ALTOOLS.exe, znajdujemy i uruchamiamy wspomniany eventcombMT.exe. Od tej pory narzędzie może działać samodzielnie jako „portable”.

 

Środowisko działania

Narzędzie to działa w środowisku okienkowym (GUI) w Windows. Nie można go uruchomić w wierszu poleceń. W pierwszym kroku eventcombMT.exe sprawdza nazwę domeny – jeśli jej nie znajdzie to wyświetli błąd, ale oczywiście może działać bez domeny:

 

Przykładowe funkcje filtry i opcje

Okno programu jest dość instynktowne. W polu oznaczonym strzałką należy poprzez PPM dodać maszynę lub wiele maszyn do sprawdzenia. Prawe menu podpowiada m.in:  „wszystkie kontrolery domeny”, „pojedynczy serwer” czy też „serwery z pliku”.

Należy dodać jakieś kryteria wyszukiwania. Możemy podać słowo kluczowe, ID (kilka różnych ID oddzielamy spacją), zakres ID…

 Oczywiście, możemy sobie sprecyzować również typ wpisu (błędy, informacje), rodzaj zdarzenia (np. „sukces”), czy konkretny dziennik ( systemowy, aplikacyjny, wpisy bezpieczeństwa):

Przyjrzyjmy się teraz dodatkowym opcjom  programu. Menu „File” zaprowadzi nas do Dziennika Zdarzeń lub lokalizacji plików Dziennika Zdarzeń (.evt).

 

Menu „Options” jest dość pokaźne. Znajdziemy tam m.in. opcję uruchamiana zadania na innym koncie, zmianę domyślnego formatu raportu z .txt na .csv, filtr daty, zmianę domyślnej ścieżki raportu i wiele innych:

Opcja „Searches” to pre-definiowane opcje wyszukiwania np. błędy sprzętowe, błędy DNS czy błędy związane z blokowaniem się konta.

 

Wynikiem działania jest plik tekstowy o nazwie EventCombMT.txt, który odkłada się tam, gdzie główny plik programu (jak wspomniałem można to zmienić w menu „Options”.

Łukasz Skalikow

Obecnie Manager IT. Przez lata byłem Inżynierem systemów. Jestem entuzjastą i specem od vSphere, Windows serwer, GPO. Od zawsze byłem zwolennikiem wiersza poleceń i automatyzacji. Obecnie, ze względu na pracę, rodzinę i wyjazdy służbowe, dużo mniej udzielam się na blogu, ale mam nadzieję, że pośród kilkuset porad opublikowanych na spece.it, wiele osób znajdzie dla siebie coś przydatnego :)

Przeczytaj także...

1 Response

  1. REMOS napisał(a):

    Rewelacja, dzięki wielkie.

Dodaj komentarz