Теперь посмотрите на рис. 2.3. В верхней трети этого окна можно увидеть
надпись "Тип: Ошибка Код(Ю): 15". Каждое сообщение в журналах событий
имеет свой тип и код-идентификатор (ID). Каждому идентификатору соответ-
ствует определенное описание события. Просматривая журналы событий, вы
можете обратить внимание на периодическое появление какой-либо ошибки
или другого события, которое вас заинтересовало. Просмотреть все сообще-
ния даже в одном журнале — работа не из приятных. Количество записей в
журнале достаточно велико, и чтобы найти записи одного вида, придется по-
тратить достаточно много времени. Но Windows XP содержит в своем составе
утилиту, написанную на VBScript, которая позволяет отфильтровать записи
журналов по определенным критериям, определив дату и время появления
сообщения о событии. После этого намного легче найти все интересующие
сообщения, чтобы определить связь между их появлением и событиями, про-
исходящими в сети или в системе компьютера. Эта утилита называется
eventquery.vbs. Для ее запуска необходимо выполнить cmd, а затем в команд-
ной строке ввести следующее:
cscript c:\windows\system32\ eventquery.vbs /<параметры>.
В качестве параметров допустимы следующие значения:
• /1 <"имя_журнала_по_английски"> — определяет журнал, в котором ве-
дется поиск;
• /s — все сообщения;
• /г N — N последних событий;
• /г -N — N самых старых событий;
• /г N-M — события от N до М;
• /fi "id eq xxx" — все сообщения с идентификатором XXX;
О Iti "id nq xxx" — все сообщения с идентификатором не равном XXX;
• /fi "id ge xxx" — все сообщения с идентификатором большим или рав-
ным XXX;
• /fi "id i t xxx" — все сообщения с идентификатором меньшим XXX;
О в строке параметров можно применить оператор or — или выражение
/fi "id eq YYY or id eq zzz" /r 20 — все события с номерами YYY или
zzz.
Параметры, начинающиеся на /fi (фильтры), можно комбинировать.
Дня доступа к серверу из сети следует добавить параметры /s systemname, /u
username и /p password, где systemname— ИМЯ сервера, username— ИМЯ поль-
зователя, password — пароль доступа.
Для вывода информации в файл с разделителями в виде запятых следует до-
бавить параметр /fo csv.
Чтобы информация действительно выводилась в файл, как обычно в команд-
ной строке следует после команды поставить знак ">" и написать имя файла с
указанием полного пути к нему. Все имена и пути, содержащие пробелы,
следует заключать в кавычки.
Кроме идентификатора ID, можно фильтровать сообщения по дате и време-
ни — datetime, типу — type, пользователю — user, компьютеру —• computer,
источнику сообщения — source, категории сообщения — category.
На рис. 2.9 показано окно командной строки с выполненной командой
cscript c:\windows\system32\ eventquery.vbs /I application /fi "datetime
ge 11/24/04,05:00:00PM"
Эта команда вывела на экран все сообщения локального журнала приложе-
ний после 24 ноября 2004 года 17 часов 00 минут 00 секунд на момент вы-
полнения, равный 24 ноября 2004 года 20 часов 15 минут 00 секунд.
Добавив к строке команды
/fo csv > c:\err.csv,
вы получите результат выполнения команды в файле err.csv на диске С:.
Файл будет записан в DOS-кодировке.
Не очень удобно вводить вручную такие длинные команды. Но существуют
пакетные и командные файлы, в которых эти команды можно записать зара-
нее и выполнять по мере необходимости. Если команда записана неправиль-
но, то вы увидите на экране сообщение об ошибке и, возможно, рекоменда-
цию, как следует написать команду. Дополнительную информацию о работе
утилиты eventqiiery.vbs можно почерпнуть, открыв этот файл в текстовом
редакторе и проанализировав его код.
Не знаю, как вам, а мне эта утилита понравилась уже при первом знакомстве
с ней.
-------------
Нужен
Шпунт? ООО Овация поможет вам!
Хотите
играть в покер онлайн бесплатно? Так играйте, легко и просто!
Обязательно посетите
SEO блог о партнерках !
