PsLogList v2.81

Von Mark Russinovich

Veröffentlicht: 05. März 2019

DownloadPsTools herunterladen(2.7 MB)

Einführung

Das Resource Kit verfügt über ein Dienstprogramm, das elogdump enthält, mit dem Sie den Inhalt eines Ereignisprotokolls auf dem lokalen oder einem Remotecomputer abbilden können. PsLogList ist ein Klon von Elogdump, außer dass PsLogList sie bei Remotesystemen anmelden kann, in Situationen, in denen Ihre aktuelle Gruppe von Sicherheitsanmeldeinformationen keinen Zugriff auf das Ereignisprotokoll erlaubt, und PsLogList ruft Nachrichtenzeichenfolgen vom Computer ab, auf dem sich das von Ihnen angezeigte Ereignisprotokoll befindet.

Installation

Kopieren Sie einfach PsLogList auf ihren ausführbaren Pfad, und geben Sie "psloglist" ein.

Verwenden von PsLogList

Das Standardverhalten von PsLogList besteht darin, den Inhalt des Systemereignisprotokolls auf dem lokalen Computer mit visueller Formatierung von Ereignisprotokolldatensätzen anzuzeigen. Mithilfe von Befehlszeilenoptionen können Sie Protokolle auf verschiedenen Computern anzeigen, ein anderes Konto verwenden, um ein Protokoll anzuzeigen oder die Ausgabe in einer Zeichenfolgensuche freundlich formatiert zu haben.

Verwendung: psloglist [- ] [\\computer[;computer[,...] | @file [-u Benutzername [-p Kennwort]]] [-s [-t Trennzeichen]] [-m #|-n #|-h #|-d #|-w] [-c] [-x] [-r] [-a mm/dd/yy] [-b mm/dd/yy] [-f filter] [-i ID[;ID[,...] | -e ID[;ID[,...]]] [-o-Ereignisquelle[;Ereignisquelle][,..]]] [-q-Ereignisquelle[;Ereignisquelle][,..]]] [-l-Ereignisprotokolldatei] < Eventlog>

Parameter BESCHREIBUNG
@file Führen Sie den Befehl auf den einzelnen Computern aus, die in der Datei aufgeführt sind.
-a Dump records timestamped after specified date.
-b Dump records timestamped before specified date.
-c Löschen Sie das Ereignisprotokoll nach der Anzeige.
-d Nur Datensätze aus vorherigen n Tagen anzeigen.
-c Löschen Sie das Ereignisprotokoll nach der Anzeige.
-e Schließen Sie Ereignisse mit der angegebenen ID oder IDs (bis zu 10) aus.
-f Filterereignistypen mit Filterzeichenfolge (z. B. "-f w", um Warnungen zu filtern).
-h Nur Datensätze aus vorherigen n Stunden anzeigen.
-i Nur Ereignisse mit der angegebenen ID oder IDs anzeigen (bis zu 10).
-l Abbilden von Datensätzen aus der angegebenen Ereignisprotokolldatei.
-m Nur Datensätze aus vorherigen n Minuten anzeigen.
-n Zeigt nur die Anzahl der zuletzt angegebenen Einträge an.
-o Nur Datensätze aus der angegebenen Ereignisquelle anzeigen (z. B. \"-o cdrom\").
-p Gibt optionales Kennwort für den Benutzernamen an. Wenn Sie dies auslassen, werden Sie aufgefordert, ein ausgeblendetes Kennwort einzugeben.
-q Auslassen von Datensätzen aus der angegebenen Ereignisquelle oder -quellen (z. B. \"-q cdrom\").
-r SDump-Protokoll von zuletzt bis zuletzt verwendet.
-s Dieser Schalter verfügt über psLogList print Event Log records one-per-line, mit durch Trennzeichen getrennten Feldern. Dieses Format eignet sich für Textsuchen, z. B. psloglist
-t Der Standarddelimeter ist ein Komma, kann jedoch mit dem angegebenen Zeichen überschrieben werden.
-u Gibt optionalen Benutzernamen für die Anmeldung bei Remotecomputern an.
-w Warten Sie auf neue Ereignisse, während sie generiert werden (nur lokales System).
-x Erweiterte Daten abbilden
Eventlog Eventlog

Funktionsweise

Wie Win NT/2Ks integrierte Ereignisanzeige und die Elogdump des Resource Kit verwendet PsLogList die Ereignisprotokoll-API, die in Windows-Plattform-SDK dokumentiert ist. PsLogList lädt Nachrichtenquellenmodule im System, in dem sich das angezeigte Ereignisprotokoll befindet, sodass es Ereignisprotokollnachrichten ordnungsgemäß anzeigt.

DownloadPsTools herunterladen(2.7 MB)

PsTools
PsLogList ist Teil eines wachsenden Kit von Sysinternals-Befehlszeilentools, die bei der Verwaltung lokaler und Remotesysteme mit dem Namen PsTools unterstützen.

Wird ausgeführt auf:

  • Client: Windows Vista und höher.
  • Server: Windows Server 2008 und höher.