Skip to content

PsLogList

Введение
В состав комплекта Resource Kit входит программа elogdump, которая позволяет сохранить содержимое журнала событий локального или удаленного компьютера. Программа PsLogList является аналогом этой программы, с той лишь разницей, что PsLogList позволяет выполнить вход на удаленную систему и получить строки сообщений с компьютера, на котором расположен просматриваемый журнал, в случаях, если текущий набор учетных сведений не позволяет получить доступ к журналу событий.

Использование
По умолчанию программа PsLogList выводит в удобном формате содержимое системного журнала событий локального компьютера. С помощью параметров командной строки можно просматривать содержимое журналов на других компьютерах, осуществлять доступ к журналам с правами другой учетной записи, или выводить содержимое журналов в удобном для строкового поиска формате.

psloglist [- ] [\\имя_компьютера[,имя_компьютера[,…] | @файл [-u имя_пользователя [-p пароль]]] [-s [-t разделитель]] [-m #|-n #|-h #|-d #|-w][-c][-x][-r][-a мм/дд/гг][-b мм/дд/гг][-f фильтр] [-i ID[,ID[,…] | -e ID[,ID[,…]]] [-o источник[,источник][,..]]] [-q источник[,источник][,..]]] [-l файл_журнала]

@файл Выполнить команду для каждого из компьютеров, перечисленных в указанном текстовом файле.
-a Вывести записи, созданные после указанной даты.
-b Вывести записи, созданные до указанной даты.
-c Очистить журнал после вывода содержимого.
-d Вывести записи за предыдущие n дней.
-e Исключить события с указанными кодом ID (до 10 шт).
-f Применить к типам событий фильтр (например “-f w” для вывода только предупреждений).
-h Вывести записи за предыдущие n часов.
-i Вывести только события с указанными кодом ID (до 10 шт).
-l Вывести записи, содержащиеся в указанном файле журнала событий.
-m Вывести записи за предыдущие n минут.
-n Вывести только указанное количество последних событий.
-o Вывести записи только от указанных источников (например “-o cdrom”).
-p Необязательный параметр, указывает пароль для пользователя. Если этот параметр опустить, то будет выдан запрос на ввод пароля, при этом пароль не будет отображаться на экране.
-q Исключить из вывода записи от указанных источников (например “-o cdrom”).
-r Выводить события в порядке от наиболее давних к наиболее свежим.
-s Указывает программе PsLogList выводить записи журнала событий по одной на строчку, разделяя поля запятыми. Этот формат удобен для текстового поиска, например можно выполнить команду psloglist | findstr /i текст_для_поиска. Также этот формат удобен для импортирования результатов в электронные таблицы.
-t По умолчанию разделителем полей является запятая, но с помощью этого параметра можно указать другой символ в качестве разделителя.
-u Необязательный параметр. Указывает имя пользователя для выполнения входа на удаленную систему.
-w Ожидать новых сообщений и выводить их по мере их появления в журнале (доступно только для локальной системы).
-x Выводить расширенные данные.
имя_журнала По умолчанию программа PsLogList выводит содержимое системного журнала событий. Можно указать другой журнал. Для этого достаточно ввести первые несколько букв имени журнала (приложение, система или безопасность).

Published inCMDWindows
Яндекс.Метрика