Доступ к журналу событий из командной строки
HashFlare
 
Главная HI-TECH Форум Поиск Книги Авторам Новости партнёров Реклама
Новостей на сайте: 10263
Программы  
  Система
  Безопасность
  Интернет и сети
  Текст
  Графика и дизайн
  Мультимедиа
  Программирование
  Бизнес
  Образование
  Дом, семья, хобби
  Игры и развлечения
 
Рассылка
 
HashFlare
 
Рейтинг программ...    
    Ф2Мастер Банк (138316)
    Коллекция руссификаторов O-S (34782)
    Товар версия 1.10 (25294)
    Коллекция софта № 13 (24860)
    NetGraf 1.0 (23985)
    New_Profile v3.4 (400) (23923)
    Revolter Commander 3.9 beta 8 (16378)
    Коллекция софта № 14 (15729)
    Net Transport 2.22 (15390)
    Intel Sound MAX 4.0 Ac' 97 5.12.01 (15207)
 

[!] Знаете ли Вы, что каждый может добавить программу в наш каталог абсолютно бесплатно?


Windows NT/2000 Статьи
Доступ к журналу событий из командной строки

На каждом компьютере Windows Server 2003, Windows XP, Windows 2000 и Windows NT есть по меньшей мере три журнала. Эти журналы — бесценный источник информации; однако получить к ним доступ очень трудно. Если на предприятии имеется 1000 рабочих станций и серверов, то администратору предстоит регулярно исследовать не менее 3000 журналов. Но с помощью инструмента командной строки операционных систем Windows 2003 и XP можно собирать и фильтровать информацию из журналов событий с локальных и удаленных машин, даже с компьютеров, на которых установлены старые версии операционных систем, предшествующие XP.

Eventquery — программа на VBScript, поэтому вызывать ее, как правило, приходится с помощью cscript.exe. Но если нужно, чтобы Eventquery вела себя как любая другая программа .exe, достаточно просто настроить систему на запуск cscript.exe каждый раз, когда в командной строке вводится eventquery (или название другой программы VBScript). Для этого следует ввести в командной строке

cscript //h:cscript //s
и нажать Enter.

После этого вместо cscript C:windowssystem32eventquery.vbs можно просто ввести команду eventquery.

В ответ на ввод команды eventquery система выдаст записи всех журналов событий на данном компьютере. Чтобы ограничить круг действия команды одним журналом, следует указать параметр /l (команда Eventquery нечувствительна к регистру символов, поэтому можно указать и параметр /L), за которым следует имя журнала. Например, команда

eventquery /l «dns server»

выведет только записи служебного журнала сервера DNS. Если в имени журнала есть пробелы, то его следует заключить в кавычки.

Чтобы извлечь информацию из журнала на удаленной системе, можно задействовать параметры /s systemname, /u username и /p password. Например, чтобы получить данные из журнала Security на удаленной машине с именем MYPC, используя учетную запись Jane с паролем HeLL0, нужно ввести команду

eventquery /l security /s
mypc /u jane /p HeLL0

Даже запрос, направленный к одной машине и одному журналу, может принести слишком много информации. К счастью, с помощью параметров /r (range) и /fi (filter) объем данных можно уменьшить. Параметру /r присваивается число или диапазон чисел в одном из трех форматов. Например, параметр /r 10 запрашивает десять последних событий, параметр /r -10 запрашивает десять самых старых событий, а /r 10-20 — недавние события с номерами с 10 по 20.

Однако самый необычный компонент Eventquery — параметр /fi. В частности, чтобы увидеть только события журнала Security с ID 528 (успех аудита), следует ввести команду

eventquery /l security /fi «id eq 528»

Значение «id eq 528» заключено в кавычки, так как содержит пробелы. В команде Eventquery нельзя использовать знак равенства (=), поэтому eq означает «равняется». Другие распознаваемые операторы: ne (not equal — не равно), ge (greater than or equal to — больше или равно), le (less than or equal to — меньше или равно), gt (greater than — больше чем) и lt (less than — меньше чем). Помимо фильтрации записей журнала по ID «события», Eventquery позволяет фильтровать записи по времени возникновения события, типу события, имени пользователя, имени компьютера и источнику или категории элемента журнала событий.

Если требуется построить запрос с логическим оператором OR, это делается просто — Eventquery распознает данный оператор. Например, предположим, что активизирован режим аудита неудачных попыток регистрации и администратор хочет выяснить, какие пользователи потерпели неудачу при попытке соединиться с компьютером. Нужно извлечь данные только о событиях с ID 529 и 680, поэтому следует ввести команду:

eventquery /l security /fi
«id eq 529 or id eq 680»

Можно использовать комбинацию фильтров. Например, можно просмотреть только последние 20 событий:

eventquery /l security /fi
«id eq 529 or id eq 680» /r 20

Как запросить информацию обо всех событиях с ID от 528 до 540? К сожалению, Eventquery не распознает логический оператор AND, но тот же результат можно получить с помощью нескольких фильтров. Например, можно запросить все записи, ID которых больше или равны 528, и все записи с номерами, меньшими или равными 540:

eventquery /l security /fi
«id ge 528» /fi «id le 540»

Eventquery нельзя сравнить с Microsoft Operations Manager (MOM), но с помощью утилиты можно составить командные файлы, чтобы получить информацию из журнала событий конкретного сервера. Используя параметр /fo (format), можно даже вывести данные в формате с разделителями в виде запятых (/fo csv). Таким образом, не составит труда направить выходные данные Eventquery в таблицу Microsoft Excel или в базу данных.

Источник: http://www.networkdoc.ru


Ссылки по теме:
Терминальные службы Windows 2000
Защитим права администратора!
УТИЛИТЫ БЕЗОПАСНОСТИ в Windows 2000 Server Resource Kit
Что нового в службе Routing and Remote Access
WINNTик и ШпуNTик или Ставим В2К после В2К3



 
Статьи    
  Windows 10
  Windows 8
  Windows 7
  Windows Vista
  Windows XP/2003
  Windows NT/2000
  Безопасность
  Windows 9x/ME
  Hardware
  Software
  Интернет
  BIOS
  Сеть
  Разное
 
Рекомендуем
 
 
Рейтинг статей...    
    Предел входящих подключений в Windows (128682)
    Как установить Windows XP на ноутбук или как добавить SATA-драйвер в дистрибутив Windows XP (69540)
    Из дома в офис - быстро, надежно и безопасно (55393)
    Всё, что надо начинающему хакеру (50398)
    Восстановление реестра Windows XP (23281)
    Второй сервис-пак для Windows XP: личный опыт (23151)
    Вызываем синий экран смерти Windows (18429)
    Настройка удаленного подключения между Windows 7 и Linux с помощью TightVNC (17427)
    Информация о proxy серверах (17279)
    Как устроена защита Windows Vista (17126)
 
 
Programmed by Ventura
 

 

Яндекс цитирования