PsLogList.exe i wpisy z dziennika zdarzeń w wierszu poleceń (+ przykłady)


 

Dziennik Zdarzeń (Event Log), podobnie jak czarna skrzynka w samolocie zawiera mnóstwo cennych informacji o tym co działo się z systemem. W codziennej pracy administratora systemów nierzadko zachodzi potrzeba przejrzenia historycznych wpisów, aby np. zrozumieć co było przyczyną jakiejś awarii. Jak to w Windowsach bywa, sposobów na czytanie Dziennika Zdarzeń jest wiele; można to robić w interfejsie graficznej, bądź konsoli. Istnieje szereg narzędzi, które ułatwią Wam czytanie wpisów lub pomogą zautomatyzować zbieranie ich z wielu maszyn i ewentualne obrabianie ich.

Jednym z narzędzie godnych polecenia jest PsLogList.exe z który jest częścią kultowego już pakietu programów „PSTOOLS” autorstwa genialnego Marka Russinovich’a. (na pewno znacie flagowy program z tego pakietu – PseExec)

Podstawowe cechy programu

strong_CMD_150

  • PsLogList.exe jest programem, uruchamianym w wierszu poleceń w Windowsie.
  • Logi można czytać w konsoli lub zrzucać do zewnętrznych plików w celu zachowania lub dalszej obróbki
  • Istnieje szereg flag, które pozwolą szukać wpisy po wielu kryteriach np. ID ilość dni itd…

    download-30x26( http://download.sysinternals.com/files/PSTools.zip )

    Jak używać PsLoglist.exe – przykłady

    Samo uruchomienie programu PsLogList.exe wyświetli nam wszystkie zdarzenia z dziennika SYSTEM. Możemy sprecyzować do jakich dzienników ma zajrzeć:

    PsLogList application

    PsLogList system

    PsLogList security

    W dalszych przykładach będę podawał „application”.
    psgetevent

    Porcjoweanie, zrzucanie do pliku

    Szybko przekonacie się, że wpisów w dzienniku jest zbyt wiele, by je czytać w CMD. Dużo lepszym pomysłem jest budowanie zapytań, które pokażą nam tylko wpisy spełniające odpowiednie kryteria. Jeśli jednak ciągle jest ich za dużo, można zrzucić do pliku tekstowego:

    PsLogList application > c:\wpisy.txt

    ..lub wyświetlać porcjami (przewijanie kolejnych porcji odbywa się spacją)

    PsLogList application | More

    Te i inne podstawowe czynności związane z komendami w wierszu poleceń opisywałem w osobnym artykule :)

    Jeden wpis, jedna linia

    Jeśli zdecydujemy się na zrzucanie wpisów do pliku, na pewno zainteresuje nas flaga, która wyświetli wpisy w pojedynczych liniach z przecinkami. Taki plik wyjściowy z całą pewnością pozwoli wrzucić dane do jakiejś bazy lub do Excela, by móc dalej obrabiać dane. Za takie formatowanie odpowiada flaga -s:

    PsLogList application -s

    Wpisy na zdalnych maszynach

    Podobnie jak w innych programach z rodziny PSTOOLS, możemy przejrzeć logi na zdalnym komputerze…

    PsLogList \\komputer_zdalny application

    …lub kilku zdalnych komputerach po kolei…

    PsLogList \\komputer_zdalny1,komputer_zdalny2,komputer_zdalny3 application

    …lub wielu komputerach, których nazwy podamy w pliku:

    PsLogList @komputery.txt application

    Filtrowanie (ograniczanie ilości wyświetlanych wyników) po dacie i godzinie

    W celu ograniczenia ilości wyświetlanych wpisów możemy zastosować szereg flag, które odpowiadają za różne kryteria.

    Wyświetlanie wpisów z 2 ostatnich dni (możemy podawać ilość dni wedle uznania):

    PsLogList application -d 2

    Możemy podać zakres dni. Odpowiadają za to flagi -a (AFTER, czyli „po dacie”) oraz -b (BEFORE, czyli „przed jakąś datą”). Format daty: MM/DD/RR

    PsLogList -a 06/06/15 -b 06/07/15

    Wpisy z ostatnich 24 godzin (wartość podajemy wedle uznania):

    PsLogList application -h 24

    Filtrowanie (ograniczanie ilości wyświetlanych wyników) po typach wpisów

    Wpisy o konkretnym ID (np.6006)znajdziemy poleceniem

    PsLogList application -i 6006

    Możemy podać aż do 10 różnych ID:

    PsLogList -i 6006,6008,6009

    Przełącznik –f pozwala filtrować po 5 róznych typach wpisów: Warning (w), Information (i), Errors (e), Audit Success i Audit Failure. Literki w nawiasach oznaczają, że zamiast pełnego słowa można użyć jednej litery. „Audit Success” i „Audit Failure” musimy jednak wpisywać w całości.

    Tak znajdziemy wszystkie zdarzenia „Audit Failure” w dzienniku „Security”…

    PsLogList -s -f „Audit Failure” Security

    ..a tak znajdziemy wszystkie błędy (error) w dzienniku „application”:

    PsLogList -s -f e Application

    Wpisy z podanego źródła, np „Windows Time Service”:

    PsLogList -o Microsoft-Windows-Time-Service

    Inne flagi i szczegółowe wyjaśnienie jak zwykle znajdziecie z przełącznikiem /?

    PsLogList /?


    Podobne Tematy: