PsLogList.exe i wpisy z dziennika zdarzeń w wierszu poleceń (+ przykłady)
Dziennik Zdarzeń (Event Log), podobnie jak czarna skrzynka w samolocie zawiera mnóstwo cennych informacji o tym co działo się z systemem. W codziennej pracy administratora systemów nierzadko zachodzi potrzeba przejrzenia historycznych wpisów, aby np. zrozumieć co było przyczyną jakiejś awarii. Jak to w Windowsach bywa, sposobów na czytanie Dziennika Zdarzeń jest wiele; można to robić w interfejsie graficznej, bądź konsoli. Istnieje szereg narzędzi, które ułatwią Wam czytanie wpisów lub pomogą zautomatyzować zbieranie ich z wielu maszyn i ewentualne obrabianie ich.
Jednym z narzędzie godnych polecenia jest PsLogList.exe z który jest częścią kultowego już pakietu programów „PSTOOLS” autorstwa genialnego Marka Russinovich’a. (na pewno znacie flagowy program z tego pakietu – PseExec)
Podstawowe cechy programu
( http://download.sysinternals.com/files/PSTools.zip )
Jak używać PsLoglist.exe – przykłady
Samo uruchomienie programu PsLogList.exe wyświetli nam wszystkie zdarzenia z dziennika SYSTEM. Możemy sprecyzować do jakich dzienników ma zajrzeć:
PsLogList application
PsLogList system
PsLogList security
W dalszych przykładach będę podawał „application”.
Porcjoweanie, zrzucanie do pliku
Szybko przekonacie się, że wpisów w dzienniku jest zbyt wiele, by je czytać w CMD. Dużo lepszym pomysłem jest budowanie zapytań, które pokażą nam tylko wpisy spełniające odpowiednie kryteria. Jeśli jednak ciągle jest ich za dużo, można zrzucić do pliku tekstowego:
PsLogList application > c:\wpisy.txt
..lub wyświetlać porcjami (przewijanie kolejnych porcji odbywa się spacją)
PsLogList application | More
Te i inne podstawowe czynności związane z komendami w wierszu poleceń opisywałem w osobnym artykule 🙂
Jeden wpis, jedna linia
Jeśli zdecydujemy się na zrzucanie wpisów do pliku, na pewno zainteresuje nas flaga, która wyświetli wpisy w pojedynczych liniach z przecinkami. Taki plik wyjściowy z całą pewnością pozwoli wrzucić dane do jakiejś bazy lub do Excela, by móc dalej obrabiać dane. Za takie formatowanie odpowiada flaga -s:
PsLogList application -s
Wpisy na zdalnych maszynach
Podobnie jak w innych programach z rodziny PSTOOLS, możemy przejrzeć logi na zdalnym komputerze…
PsLogList \\komputer_zdalny application
…lub kilku zdalnych komputerach po kolei…
PsLogList \\komputer_zdalny1,komputer_zdalny2,komputer_zdalny3 application
…lub wielu komputerach, których nazwy podamy w pliku:
PsLogList @komputery.txt application
Filtrowanie (ograniczanie ilości wyświetlanych wyników) po dacie i godzinie
W celu ograniczenia ilości wyświetlanych wpisów możemy zastosować szereg flag, które odpowiadają za różne kryteria.
Wyświetlanie wpisów z 2 ostatnich dni (możemy podawać ilość dni wedle uznania):
PsLogList application -d 2
Możemy podać zakres dni. Odpowiadają za to flagi -a (AFTER, czyli „po dacie”) oraz -b (BEFORE, czyli „przed jakąś datą”). Format daty: MM/DD/RR
PsLogList -a 06/06/15 -b 06/07/15
Wpisy z ostatnich 24 godzin (wartość podajemy wedle uznania):
PsLogList application -h 24
Filtrowanie (ograniczanie ilości wyświetlanych wyników) po typach wpisów
Wpisy o konkretnym ID (np.6006)znajdziemy poleceniem
PsLogList application -i 6006
Możemy podać aż do 10 różnych ID:
PsLogList -i 6006,6008,6009
Przełącznik –f pozwala filtrować po 5 róznych typach wpisów: Warning (w), Information (i), Errors (e), Audit Success i Audit Failure. Literki w nawiasach oznaczają, że zamiast pełnego słowa można użyć jednej litery. „Audit Success” i „Audit Failure” musimy jednak wpisywać w całości.
Tak znajdziemy wszystkie zdarzenia „Audit Failure” w dzienniku „Security”…
PsLogList -s -f „Audit Failure” Security
..a tak znajdziemy wszystkie błędy (error) w dzienniku „application”:
PsLogList -s -f e Application
Wpisy z podanego źródła, np „Windows Time Service”:
PsLogList -o Microsoft-Windows-Time-Service
PsLogList /?
