• Статья

Программа PsLogList (версия 2.71)

Автор: Марк Руссинович (Mark Russinovich)


Опубликовано 28 апреля 2010 г.

Введение

В состав комплекта Resource Kit входит программа elogdump, которая позволяет сохранить содержимое журнала событий локального или удаленного компьютера. Программа PsLogList является аналогом этой программы, с той лишь разницей, что PsLogList позволяет выполнить вход на удаленную систему и получить строки сообщений с компьютера, на котором расположен просматриваемый журнал, в случаях, если текущий набор учетных сведений не позволяет получить доступ к журналу событий.

К началу страницы К началу страницы

Установка

Просто скопируйте программу PsLogList в любую из папок, в которых система ищет исполняемые файлы, а затем выполните команду psloglist.

Программа PsLogList работает в операционных системах Windows Vista, NT 3.51, NT 4.0, Win2K, Windows XP и Server 2003.

К началу страницы К началу страницы

Использование программы

По умолчанию программа PsLogList выводит в удобном формате содержимое системного журнала событий локального компьютера. С помощью параметров командной строки можно просматривать содержимое журналов на других компьютерах, осуществлять доступ к журналам с правами другой учетной записи, или выводить содержимое журналов в удобном для строкового поиска формате.

синтаксис: psloglist [- ] [\\имя_компьютера[,имя_компьютера[,...] | @файл [-u имя_пользователя [-p пароль]]] [-s [-t разделитель]] [-m #|-n #|-h #|-d #|-w][-c][-x][-r][-a мм/дд/гг][-b мм/дд/гг][-f фильтр] [-i ID[,ID[,...] | -e ID[,ID[,...]]] [-o источник[,источник][,..]]] [-q источник[,источник][,..]]] [-l файл_журнала] <имя_журнала>

@файл Выполнить команду для каждого из компьютеров, перечисленных в указанном текстовом файле.
-a Вывести записи, созданные после указанной даты.
-b Вывести записи, созданные до указанной даты.
-c Очистить журнал после вывода содержимого.
-d Вывести записи за предыдущие n дней.
-e Исключить события с указанными кодом ID (до 10 шт).
-f Применить к типам событий фильтр (например “-f w” для вывода только предупреждений).
-h Вывести записи за предыдущие n часов.
-i Вывести только события с указанными кодом ID (до 10 шт).
-l Вывести записи, содержащиеся в указанном файле журнала событий.
-m Вывести записи за предыдущие n минут.
-n Вывести только указанное количество последних событий.
-o Вывести записи только от указанных источников (например “-o cdrom”).
-p Необязательный параметр, указывает пароль для пользователя. Если этот параметр опустить, то будет выдан запрос на ввод пароля, при этом пароль не будет отображаться на экране.
-q Исключить из вывода записи от указанных источников (например “-o cdrom”).
-r Выводить события в порядке от наиболее давних к наиболее свежим.
-s Указывает программе PsLogList выводить записи журнала событий по одной на строчку, разделяя поля запятыми. Этот формат удобен для текстового поиска, например можно выполнить команду psloglist | findstr /i текст_для_поиска. Также этот формат удобен для импортирования результатов в электронные таблицы.
-t По умолчанию разделителем полей является запятая, но с помощью этого параметра можно указать другой символ в качестве разделителя.
-u Необязательный параметр. Указывает имя пользователя для выполнения входа на удаленную систему.
-w Ожидать новых сообщений и выводить их по мере их появления в журнале (доступно только для локальной системы).
-x Выводить расширенные данные.
имя_журнала По умолчанию программа PsLogList выводит содержимое системного журнала событий. Можно указать другой журнал. Для этого достаточно ввести первые несколько букв имени журнала (приложение, система или безопасность).
К началу страницы К началу страницы

Принцип работы

Аналогично штатному средству просмотру событий ОС Windows NT и 2000 или включенной в состав комплекта Resource Kit программе elogdump, программа PsLogList использует для своей работы API-интерфейс журнала событий, который описан в пакете Windows Platform SDK. Для корректного отображения сообщений журнала событий программа PsLogList загружает модули источников сообщений на системе, на которой расположен считываемый журнал.

К началу страницы К началу страницы

Комплект программ PsTools

Программа PsLogList входит в состав постоянно расширяющегося набора консольных программ PsTools, разработанных компанией Sysinternals и предназначенных для облегчения выполнения административных задач на локальных и удаленных системах под управлением ОС Windows NT и 2000.

Загрузить набор программ PsTools (1 МБ)Загрузить набор программ PsTools (1,60 МБ)