PsLogList v2.82

Von Mark Russinovich

Veröffentlicht am: 30. März 2023

DownloadPsTools herunterladen(5 MB)

Einführung

Das Resource Kit wird mit dem Hilfsprogramm „elogdump“ bereitgestellt, mit dem Sie den Inhalt eines Ereignisprotokolls auf dem lokalen Computer oder einem Remotecomputer speichern können. PsLogList ist ein Klon von „elogdump“, mit der Ausnahme, dass Sie sich mit PsLogList bei Remotesystemen anmelden können, wenn Ihr aktueller Satz von Sicherheitsanmeldeinformationen keinen Zugriff auf das Ereignisprotokoll zulassen würde. PsLogList ruft außerdem Nachrichtenzeichenfolgen von dem Computer ab, auf dem sich das angezeigte Ereignisprotokoll befindet.

Installation

Kopieren Sie einfach PsLogList in ihren ausführbaren Pfad, und geben Sie „psloglist“ ein.

Verwenden von PsLogList

PsLogList zeigt standardmäßig den Inhalt des Systemereignisprotokolls auf dem lokalen Computer an, wobei die Ereignisprotokolle visuell ansprechend formatiert werden. Mit den Befehlszeilenoptionen können Sie Protokolle auf verschiedenen Computern anzeigen, ein anderes Konto zum Anzeigen eines Protokolls verwenden oder die Ausgabe auf eine für die Zeichenfolgensuche geeignete Weise formatieren.

Syntax: psloglist [- ] [\\computer[,computer[,...] | @file [-u username [-p password]]] [-s [-t delimiter]] [-m #|-n #|-h #|-d #|-w][-c][-x][-r][-a mm/dd/yy][-b mm/dd/yy][-f filter] [-i ID[,ID[,...] | -e ID[,ID[,...]]] [-o event source[,event source][,..]]] [[-q event source[,event source][,..]]] [-l event log file] <eventlog>

Parameter Beschreibung
@file Führt den Befehl auf jedem der in der Datei aufgeführten Computer aus.
-a Speicherabbilddatensätze mit Zeitstempel nach dem angegebenen Datum.
-b Speicherabbilddatensätze mit Zeitstempel vor dem angegebenen Datum.
-c Löscht das Ereignisprotokoll nach der Anzeige.
-d Zeigt nur die Datensätze der letzten n Tage an.
-c Löscht das Ereignisprotokoll nach der Anzeige.
-e Schließt Ereignisse mit der angegebenen ID oder IDs (bis zu 10) aus.
-f Filtert Ereignistypen mit einer Filterzeichenfolge (z. B. „-f w“, um Warnungen zu filtern).
-h Zeigt nur Datensätze der letzten n Stunden an.
-i Zeigt nur Ereignisse mit der angegebenen ID oder IDs (bis zu 10) an.
-l Speichert Datensätze aus der angegebenen Ereignisprotokolldatei.
-m Zeigt nur Datensätze der letzten n Minuten an.
-n Zeigt nur die Anzahl der zuletzt angegebenen Einträge an.
-o Zeigt nur Datensätze aus der angegebenen Ereignisquelle an (z. B. \„-o cdrom\“).
-p Gibt das optionale Kennwort für den Benutzernamen an. Wenn Sie es weglassen, werden Sie aufgefordert, ein verstecktes Kennwort einzugeben.
-q Lässt Datensätze aus der angegebenen Ereignisquelle bzw. den -quellen aus (z. B. \„-q cdrom\“).
-r SDump-Protokoll vom ältesten zum neuesten Protokoll.
-s Mit diesem Schalter druckt PsLogList Ereignisprotokolldatensätze pro Zeile mit durch Komma getrennten Feldern. Dieses Format eignet sich für Textsuchen, z. B. „psloglist“.
-t Das Standardtrennzeichen ist ein Komma, kann aber mit dem angegebenen Zeichen überschrieben werden.
-u Gibt den optionalen Benutzernamen für die Anmeldung beim Remotecomputer an.
-w Wartet auf neue Ereignisse, und gibt diese beim Generieren ab (nur lokales System).
-x Speicherabbild für erweiterte Daten
eventlog Ereignisprotokoll

Funktionsweise

Wie die in Win NT/2K eingebaute Ereignisanzeige und das „elogdump“ des Resource Kits verwendet PsLogList die Ereignisprotokoll-API, die in Windows-Plattform-SDK dokumentiert ist. PsLogList lädt Nachrichtenquellmodule auf dem System, in dem sich das angezeigte Ereignisprotokoll befindet, damit Ereignisprotokollmeldungen ordnungsgemäß angezeigt werden.

DownloadPsTools herunterladen(5 MB)

PsTools
PsLogList ist Teil eines wachsenden Kit von Sysinternals-Befehlszeilentools mit dem Namen PsTools, die Sie bei der Verwaltung lokaler Systeme und Remotesysteme unterstützen.

Läuft auf:

  • Client: Windows 8.1 und höher.
  • Server: Alle Windows Server 2012 (x64) und höher.