Доступ к записям журнала событий из командной строки
Значение журнала событий трудно переоценить: если не заглядывать в него один-два дня, можно пропустить важное предупреждение или ошибку. Но запускать оснастку Computer Management консоли Microsoft Management Console (MMC) утомительно, и администратору проще выполнять регулярные проверки журнала с помощью инструмента командной строки.
Event Log Query Tool - автоматизированный инструмент для исследования журналов событий из комплекта ресурсов Microsoft Windows 2000 Server Resource Kit Supplement One. Возможности Elogdmp.exe ограничены, но, если администратор проявит некоторую настойчивость, утилита будет весьма полезной. Event Log Query Tool выводит на экран сводку из журнала событий. Затем можно выполнить поиск по ключевым словам или обработать данные в командном файле.
Синтаксис Elogdmp:
elogdmp
Computername - имя компьютера, журнал которого нужно просмотреть. Elogdmp принимает имена NetBIOS, IP-адреса и некоторые (но не все) имена DNS (их не нужно предварять обратными косыми чертами). Logname - имя журнала (например, Security, Application, Directory Service). Похоже, регистр символов не учитывается, но если в имени журнала есть пробел, то его следует заключить в кавычки.
Например, чтобы прочитать журнал System на машине с именем mypc, следует ввести с клавиатуры
elogdmp mypc system
Если mypc - сервер DNS, можно ввести:
elogdmp mypc «dns server»
В результате выдается массив данных журнала с разделителями в виде запятых: дата, время, источник, тип, категория, ID события, пользователь и информация о компьютере. Большинство полей не нуждается в комментариях, но поля «источник», «тип» и «категория» следует пояснить.
Поле «источник» идентифицирует программу (например, w32time, DNS), которая создает запись в журнале, а в поле «тип» указывается тип события (INFO, WARN или ERROR). В файле журнала, просматриваемом с помощью оснастки Computer Management, поле «категория» содержит более подробную информацию о системе, чем поле «источник». Например, в связанном с Active Directory (AD) сообщении о том, что операционная система начала дефрагментировать AD, в «источнике» может быть указано NTDS ISAM, а в поле «категория» - более полезная информация, Online Defrag-mentation. К сожалению, в отчете Elogdmp поле «категория» совершенно бесполезно: в нем содержится только слово None или Something.
Elogdmp не показывает реального сообщения, которое было записано в журнал, и тем не менее инструмент полезен при запуске из командной строки или командного файла. Например, команда
elogdmp mypc system | find «ERROR»
показывает все записи в журнале System (команда Find чувствительна к регистру символов, поэтому в слове ERROR все буквы должны быть заглавными). Записи следуют в порядке от старых к новым, поэтому администратор увидит информацию о последних ошибках даже в том случае, если большинство сообщений не умес-тится на экране.
Сообщения об ошибках обычно краткие. Если Elogdmp не может выполнить запрос (например, запрос направлен к журналу такого компьютера, к которому у администратора нет доступа), то на экран выводится совершенно бесполезное сообщение, например:
elogdmp: cannot open the 'system' event log (5)
Чтобы выяснить причину ошибки, нужно знать, что число в скобках есть ее номер. Ошибка 5 означает отказ в доступе. Узнать, что означают ошибки, можно с помощью команды Net Helpmsg. Например, если ввести с клавиатуры
net helpmsg 5
на экране появится ответ:
access is denied.