Windows 7, Vista, Server 2008, R2 の新しいイベントログにスクリプトからアクセスする方法
???????? Windows ????????????????????????Windows Vista ?????????????????????????????????????????????????????? XML ?????????????????????
??????????????????????????????????? WMI (Windows Management Instrumentation) ?????????????????????????????????????????
Windows Vista ?????wevtutil.exe ????????????????????????????????????
C:\>wevtutil /?
Windows ???? ???? ??? ????????
???? ?????????????????????? ???????
???????????????????????????????????
???????????????????
???:
??????????????????? (ep /uni ??) ???
??????? (enum-publishers /unicode ??) ????????
??????????????????????????????????
??????????????????
wevtutil COMMAND [ARGUMENT [ARGUMENT] ...] [/OPTION:VALUE [/OPTION:VALUE] ...]
????:
el | enum-logs ??????????
gl | get-log ??????????????
sl | set-log ???????????????
ep | enum-publishers ???????????????
gp | get-publisher ???????????????
im | install-manifest ????????????????????
??????????
um | uninstall-manifest ????????????????????
????????????
qe | query-events ??????? ?????????????????
gli | get-log-info ?? ??????????????
epl | export-log ?????????????
al | archive-log ??????????????????
cl | clear-log ??????????
?????????:
/{r | remote}:VALUE
?????????? ?????????????????????
VALUE ????? ??????????
????? /im ??? /um ???????????????????
/{u | username}:VALUE
???? ???????????????????????????VALUE ?
"????\????" ??? "????" ????????????
????? /r ????????????????????
/{p | password}:VALUE
????????????????????????????VALUE ?
"*" ????????????????????????????????
????? /u ????????????????????
/{a | authentication}:[Default|Negotiate|Kerberos|NTLM]
???? ?????????????????????????
???? "Negotiate" ???
/{uni | unicode}:[true|false]
Unicode ??????????true ??????? Unicode ???
????????????????????????????????
wevtutil COMMAND /?
????????????????????????????????????????
C:\>wevtutil qe system /rd:true /f:text /q:*[System[(Level=3)]]
Event[0]:
Log Name: System
Source: Microsoft-Windows-DNS-Client
Date: 2010-02-12T15:51:03.314
Event ID: 1014
Task: N/A
Level: ??
Opcode: ??
Keyword: N/A
User: S-1-5-20
User Name: NT AUTHORITY\NETWORK SERVICE
Computer: xxx
Description:
?? xxx ?????????????? DNS ????????????????????????
(???)
qe (query-events) ???????????????
C:\>wevtutil qe /?
???? ????? ????????????????????????????
???:
wevtutil { qe | query-events } <PATH> [/OPTION:VALUE [/OPTION:VALUE] ...]
<PATH>
?????<PATH> ?????????????????????/lf ????????
?????<PATH> ?????????? ???????????????
/sq ????????????????????????????????
?????????
?????:
???????????????? (/f ??) ?????????? (/format ??)
??????????????????????????????????
/{lf | logfile}:[true|false]
true ????<PATH> ??? ??????????????
/{sq | structuredquery}:[true|false]
true ????PATH ???????????????????????????
/{q | query}:VALUE
VALUE ??????????????????????? XPath ??????
??????????????????????????????
???????? /sq ? true ????????????
/{bm | bookmark}:VALUE
VALUE ?????????????????????????????????????
/{sbm | savebookmark}:VALUE
VALUE ?????????????????????????????????
?????????? .xml ??????????
/{rd | reversedirection}:[true|false]
????????????true ?????????????????????????
/{f | format}:[XML|Text|RenderedXml]
???? XML ???Text ????????????? XML ??????
???????????????????RenderedXml ?????????????
??????????? XML ??????????Text ????? RenderedXml
???????????????XML ???????????????????
??????
/{l | locale}:VALUE
VALUE ?????? ??????????????????????????????
/f ??????????????????????????????????????
/{c | count}:<n>
????????????
/{e | element}:VALUE
???? XML ?????????????????????? XML ???????
VALUE ?????????????????????/e:root ??????????
???????? <root></root> ??? XML ????????
?:
?????Application ???????????? 3 ????????
??????
wevtutil qe Application /c:3 /rd:true /f:text
????????????????????????????? /q: ??????????????????????????????????????
Windows Vista ????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
?????????????????????????????????????????????????????????????????????????????????????????????????
?????????????????????????????????????????????????????????
??? XML ?????????????? XML ??????????
??????????????????????????????????????12????DNS ???????????????????????
XML ???????????????????
?????????????? (<QueryList>~</QueryList>) ??????????wevtutil.exe ?????????????????evq.xml ??????????
c:\>wevtutil qe evq.xml /sq:true /rd:true /f:text
??????????????????
???Windows PowerShell 2.0 ????????????????? Get-WindowsLog ???????????????????????????????????????
PS c:\> Get-WinEvent -LogName System -FilterXPath "*[System[(Level=3)]]"
TimeCreated ProviderName Id Message
----------- ------------ -- -------
2010/02/12 15:51:03 Microsoft-Window... 1014 ?? xxx
2010/02/12 15:50:25 Microsoft-Window... 1014 ?? yyy
2010/02/12 14:12:39 Microsoft-Window... 1014 ?? zzz
...
?????XPath ??????????????????????????????????????????????????????