作者:Mark Russinovich
發佈日期: 2006 年 12 月 4 日
簡介
Resource Kit 隨附 elogdump 公用程式,可讓您列出本機或遠端電腦上的事件日誌內容。PsLogList 是 elogdump 的複製品,但 PsLogList 可讓您在目前的安全性認證集不允許存取事件日誌的情況下登入遠端系統,且 PsLogList 會從您檢視事件日誌所在的電腦擷取訊息字串。
.gif)
回到頁首
安裝
只需要將 PsLogList 複製到可執行路徑,並鍵入 "psloglist" 即可安裝。
PsLogList 適用於 Windows Vista、NT 3.51、NT 4.0、Win2K、Windows XP 和 Server 2003。
回到頁首
使用方法
PsLogList 的預設行為是顯示本機電腦上的系統事件日誌內容 (並以易於查看的格式來呈現事件日誌記錄)。命令列選項可讓您檢視不同電腦上的記錄、使用不同的帳戶來檢視記錄,或以容易進行字串搜尋的方式來格式化輸出。
用法:psloglist [- ] [\\computer[,computer[,...] | @file [-u username [-p password]]] [-s [-t delimiter]] [-m #|-n #|-h #|-d #|-w][-c][-x][-r][-a mm/dd/yy][-b mm/dd/yy][-f filter] [-i ID[,ID[,...] | -e ID[,ID[,...]]] [-o event source[,event source][,..]]] [-q event source[,event source][,..]]] [-l event log file] <eventlog>
@file
在檔案中所列的每部電腦上執行命令。
-a
列出時間戳記晚於指定日期的記錄。
-b
列出時間戳記早於指定日期的記錄。
-c
顯示後清除事件日誌。
-d
只顯示前 n 天的記錄。
-e
排除具有指定 ID 的事件 (最多 10 個)。
-f
使用篩選字串篩選事件類型 (例如,"-f w" 會篩選警告)。
-h
只顯示前 n 個小時的記錄。
-i
只顯示具有指定 ID 的事件 (最多 10 個)。
-l
列出指定事件日誌檔中的記錄。
-m
只顯示前 n 分鐘的記錄。
-n
只顯示指定的最近使用項目數。
-o
只顯示指定事件來源中的記錄 (例如 \"-o cdrom\")。
-p
指定使用者名稱的選擇性密碼。如果省略這個項目,則會提示您輸入隱藏密碼。
-q
略過一或多個指定事件來源中的記錄 (例如 \"-q cdrom\")。
-r
依最早使用到最近使用的順序列出記錄。
-s
此參數會讓 PsLogList 在每行列印一個事件日誌記錄,並用逗號隔開欄位。此格式不但易於進行文字搜尋 (例如,psloglist | findstr /i text),也易於將輸出匯入至試算表。
-t
預設分隔符號是逗號,但是可以使用指定的字元來覆寫它。
-u
指定用來登入遠端電腦的選擇性使用者名稱。
-w
等待新的事件,並在事件產生時予以列出 (僅限本機系統)。
-x
列出延伸資料。
eventlog
PsLogList 預設會顯示系統事件日誌的內容。請鍵入日誌名稱、應用程式、系統或安全性的前幾個字母,以指定不同的事件日誌。
回到頁首
運作方式
PsLogList 與 Win NT/2K 的內建事件檢視器和 Resource Kit 的 elogdump 相同,都會使用事件日誌 API (記載於 Windows Platform SDK 中)。PsLogList 會在檢視事件日誌所在的系統上載入訊息來源模組,以正確顯示事件日誌訊息。
回到頁首
PsTools
PsLogList 是 Sysinternals 命令列工具擴充套件的一部分,可協助本機和遠端 Windows NT/2K 系統的系統管理,此套件的名稱為 PsTools。