Tài liệu Sử dụng WEVTUTIL để quản lý các bản ghi sự kiện pdf
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (456.4 KB, 6 trang )
Sử dụng WEVTUTIL để quản lý các bản ghi sự kiện
Ngu
ồn : quantrimang.com
Derek Melber
Chờ đợi và cuối cùng những gì mà Microsoft đã tốn nhiều thời gian và
công sức nhằm cung cấp cho chúng ta một Event Viewer hữu dụng cũng
đã được ra mắt. Windows Vista và Windows Server 2008 ra mắt với Event
Viewer mới được sửa lại cũng như một số công cụ bổ sung, thực sự làm
cho bạn dễ dàng hơn trong sử dụng Event Viewer, giúp cho việc quản lý
thực sự dễ dàng. Thêm vào với tùy ch
ọn đăng ký mới mà Event Viewer hiện
đang có còn có một tiện ích dòng lệnh mới, đó chính là WEVTUTIL, tiện ích này
cho phép bạn có thể kiểm soát gần như mọi khía cạnh các bản ghi của Event
Viewer.
Lệnh và cú pháp WEVTUTIL
Do lệnh WEVTUTIL có thể kiểm soát gần như mọi khía cạnh của Event Viewer
và các bản ghi nên chúng có một số lượng khổng lồ các tham số cũng như khóa
chuyển đổi để kiểm soát các vấn đề chi tiết.
Cấu trúc cú pháp c
ủa WEVTUTIL được cho dưới đây:
wevtutil [{el | enum-logs}] [{gl | get-log} [/f: ]]
[{sl | set-log} [/e:] [/i:] [/lfn:] [/rt:] [/ab:] [/ms:]
[/l:] [/k:] [/ca:] [/c:]]
[{ep | enum-publishers}]
[{gp | get-publisher} [/ge: ] [/gm:] [/f: ]] [{im |
install-manifest} ]
[{um | uninstall-manifest} ] [{qe | query-events} [/lf:]
[/sq:] [/q:] [/bm:] [/sbm:] [/rd:] [/f: ] [/l:] [/c:]
[/e:]]
[{gli | get-loginfo} [/lf:]]
[{epl | export-log} [/lf:] [/sq:] [/q:] [/ow:]]
[{al | archive-log} [/l:]]
[{cl | clear-log} [/bu:]] [/r:] [/u:] [/p: ] [/a:]
[/uni:]
Cũng như bất cứ lệnh nào, các tham số đều có một số switch có tính bắt buộc,
còn các thành phần khác hoàn toàn mang tính chất tùy chọn. Cú pháp này cũng
rất quan trọng với các dấu hai chấm (:), các cú pháp khác thường sử dụng
khoảng trống giữa khóa chuyển đổi (switch) và đường dẫn (path), một số khác
cần đến dấu trích dẫn (“ “). Bảng dưới đây sẽ mô tả mỗi tham số và giới thiệu cú
pháp của các khóa chuyển đổ
i mang tính tùy chọn. Bạn có thể lấy thêm mô tả
chi tiết hơn về các tham số cũng như tùy chọn từ trang Wevtutil của Microsoft
TechNet.
Tham số Mô tả
{el | enum-logs}
Hiển thị tên của tất cả các bản ghi, gồm
có tất cả các bản ghi Windows mới cùng
với cú pháp của chúng.
{gl | get-log} [/f: ]
Cho phép chỉ định một bản ghi, sau đó sẽ
hiển thị trạng thái của bản ghi. Trạng thái
và thông tin sẽ bao gồm nội dung bản ghi
được kích hoạt hay vô hiệu hóa, các hạn
chế về kích thước của bản ghi cũng như
đường dẫn đến nơi bản ghi được lưu.
{sl | set-log} [/e:]
[/i:] [/lfn:] [/rt:]
[/ab:] [/ms:] [/l:]
[/k:] [/ca:] [/c:]
Cho phép thay đổi các cấu hình chi tiết
của bản ghi mà bạn chỉ định.
{ep | enum-
publishers}
Hiển thị các bộ phát hành sự kiện (event)
trên máy tính nội bộ. Những bộ phát hành
sự kiện là các thành phần có thể tạo sự
kiện và sau đó phân phối chúng đến
Event Viewer.
{gp | get-
publisher} [/ge: ]
[/gm:] [/f: ]]
Cho phép bạn chỉ định bộ phát hành sự
kiện, sau đó sẽ hiển thị các thông tin cấu
hình của bộ phát hành sự kiện đó.
{qe | query-
events} [/lf:] [/sq:]
[/q:] [/bm:] [/sbm:]
Lệnh này cho phép thu được các sự kiện
đối với một bản ghi nào đó. Bản ghi có
thể là từ event viewer, log file, hoặc sử
[/rd:] [/f: ] [/l:] [/c:]
[/e:]
dụng một truy vấn cấu trúc. Trong hầu hết
các trường hợp bạn chỉ cần đánh tên bản
ghi thay cho đường dẫn. Nếu sử dụng tùy
chọn /lf thì bạn cần nhập vào đường dẫn
đến file bản ghi muốn đọc. Để sử dụng
truy vấn cấu trúc, bạn phải sử dụng tham
số /sq cùng với đường dẫn tới truy vấn
cấu trúc.
{gli | get-loginfo}
[/lf:]
Cho phép thu thập các thông tin về bản
ghi sự kiện hoặc các file bản ghi. Đây là
một lệnh rất tốt để có thể xem toàn bộ
thông tin về bản ghi.
{epl | export-log}
[/lf:] [/sq:] [/q:]
[/ow:]
Cho phép export các sự kiện vào một file.
Bạn có thể export từ một bản ghi trong
Event Viewer, một file bản ghi hoặc sử
dụng một truy vấn cấu trúc. Export các sự
kiện từ một bản ghi sự kiện và từ một file
bản ghi hoặc sử dụng truy vấn cấu trúc
đối với một file nào đó. Trong hầu hết tất
cả các trường hợp bạn chỉ cần đánh tên
bản thi vào đường dẫn. Nếu sử dụng tùy
chọn /lf thì bạn cần phải nhập vào đường
dẫn đến file bản ghi muốn đọc. Để sử
dụng truy vấn, bạn phải sử dụng tham số
/sq cùng với đường dẫn để truy vấn. là
đường dẫn đến file mà bạn muốn các sự
kiện export được lưu ở đó.
{al | archive-log}
[/l:]
Cho phép lưu bản ghi mà bạn chỉ định. Vị
trí lưu trữ sẽ là một thư mục con với tất
cả các thông tin đã được lưu trong thư
mục con này.
{cl | clear-log}
[/bu:]
Cho phép xóa các sự kiện của bản ghi
mà bạn chỉ định. Nếu bạn muốn thực hiện
một backup của các sự kiện đã xóa thì có
thể sử dụng tùy chọn /bu.
Bảng 1
Các ví dụ sử dụng WEVTUTIL hữu ích
Với quá nhiều bản ghi mới và các bộ phát hành mới có trong Windows Vista và
Windows Server 2008, sẽ thật là một ý tưởng hay nếu bạn không cần phải nhớ
tất cả chúng. Rõ ràng bạn luôn có thể theo dõi Event Viewer để xem tất cả các
liệt kê. Vấn đề với tùy chọn này là bạn không phải lúc nào cũng biết cú pháp của
bản ghi hoặc bộ phát hành mà bạn muốn tập trung. Thay vì đó bạn có thể sử
dụng một trong các lệnh dưới đây để
có được danh sách về tất cả các bản ghi
và bộ phát hành.
Ví dụ 1: Hình 1 thể hiện cách liệt kê tất cả các bản ghi sự kiện từ một máy tính
nội bộ.
Hình 1: Sử dụng tham số el sẽ cho bạn có được cả một danh sách đầy đủ các
bản ghi sự kiện trên máy tính nội bộ.
Ví dụ 2: Hình 2 thể hiện cách bạn đạt được một danh sách đầy đủ tất cả
các bộ
phát hành sự kiện từ máy tính nội bộ.
Hình 2: Sử dụng tham số ep sẽ cho phép bạn có được một danh sách các bộ
phát hành sự kiện trên máy tính nội bộ.
Ví dụ 3: Hình 3 thể hiện cách lấy thông tin về một bản ghi sự kiện nào đó.
Hình 3: Sử dụng tham số gl và tên bản ghi sự kiện để hiển thị các thông tin về
bản ghi đó
Ví dụ 4: Hình 4 thể hiện cho bạn cách export các sự kiện từ một bản ghi event
viewer
đến một file để lưu trữ hoặc cho các mục đích lưu trữ khác.
Hình 4: Sử dụng tham số epl sẽ cho phép bạn export một bản ghi sự kiện vào
