PsLogList v2.82

Autor: Mark Russinovich

Opublikowano: 30 marca 2023 r.

DownloadPobierz narzędzie PsTools (5 MB)

Wprowadzenie

Zestaw Resource Kit jest dostarczany z narzędziem elogdump, które umożliwia zrzut zawartości dziennika zdarzeń na komputerze lokalnym lub zdalnym. PsLogList to klon elogdump z tą różnicą, że program PsLogList umożliwia logowanie się do systemów zdalnych w sytuacjach, w których bieżący zestaw poświadczeń zabezpieczeń nie zezwoli na dostęp do dziennika zdarzeń, a program PsLogList pobiera ciągi komunikatów z komputera, na którym znajduje się widok dziennika zdarzeń.

Instalacja

Wystarczy skopiować plik PsLogList na ścieżkę wykonywalną i wpisać "psloglist".

Korzystanie z listy PsLogList

Domyślne zachowanie programu PsLogList polega na wyświetlaniu zawartości dziennika zdarzeń systemu na komputerze lokalnym przy użyciu wizualnego formatowania rekordów dziennika zdarzeń. Opcje wiersza polecenia umożliwiają wyświetlanie dzienników na różnych komputerach, używanie innego konta do wyświetlania dziennika lub sformatowanie danych wyjściowych w sposób przyjazny dla wyszukiwania ciągów.

usage: psloglist [- ] [\\computer[,computer[,...] | @file [-u nazwa użytkownika [-p hasło]]] [-s [-t ogranicznik]] [-m #|-n #|-h #|-d #|-w] [-c] [-x] [-r] [-a mm/dd/yy] [-b mm/dd/yy] Filtr [-f] [-i ID[,ID[,...] | -e ID[,ID[,...]]] [-o źródło zdarzeń[,źródło zdarzeń][,..]]] [-q źródło zdarzeń[,źródło zdarzeń][,..]]] [-l plik dziennika zdarzeń] <Eventlog>

Parametr Opis
@file Wykonaj polecenie na każdym z komputerów wymienionych w pliku.
-a Zrzut rekordów sygnatury czasowej po określonej dacie.
-B Zrzut rekordów sygnatury czasowej przed określoną datą.
-c Wyczyść dziennik zdarzeń po wyświetleniu.
-D Wyświetlaj tylko rekordy z poprzednich n dni.
-c Wyczyść dziennik zdarzeń po wyświetleniu.
-E Wyklucz zdarzenia z określonym identyfikatorem lub identyfikatorami (do 10).
-F Filtruj typy zdarzeń za pomocą ciągu filtru (np. "-f w", aby filtrować ostrzeżenia).
-h Wyświetlaj tylko rekordy z poprzednich n godzin.
-I Pokaż tylko zdarzenia z określonym identyfikatorem lub identyfikatorami (do 10).
-L Zrzut rekordów z określonego pliku dziennika zdarzeń.
-M Wyświetlaj tylko rekordy z poprzednich n minut.
-N Wyświetlaj tylko liczbę ostatnio określonych wpisów.
-o Pokaż tylko rekordy z określonego źródła zdarzeń (np. \"-o cdrom\").
-P Określa opcjonalne hasło dla nazwy użytkownika. W przypadku pominięcia tego monitu zostanie wyświetlony monit o wprowadzenie ukrytego hasła.
-P Pomiń rekordy z określonego źródła lub źródeł zdarzeń (np. \"-q cdrom\").
-r Dziennik SDump z najnowszej do najnowszej.
-s Ten przełącznik zawiera dziennik zdarzeń drukowania PsLogList rejestruje jeden na wiersz z polami rozdzielanymi przecinkami. Ten format jest wygodny dla wyszukiwań tekstowych, np. psloglist
-T Ogranicznik domyślny jest przecinkiem, ale może zostać zastąpiony określonym znakiem.
-U Określa opcjonalną nazwę użytkownika logowania do komputera zdalnego.
-W Poczekaj na nowe zdarzenia, dumpinguj je podczas generowania (tylko system lokalny).
-X Zrzut danych rozszerzonych
Eventlog Dziennik zdarzeń

Jak to działa

Podobnie jak wbudowane Podgląd zdarzeń systemu Win NT/2K i elogdump zestawu Resource Kit, narzędzie PsLogList używa interfejsu API dziennika zdarzeń, który jest udokumentowany w Zestaw SDK do platformy systemu Windows. Narzędzie PsLogList ładuje moduły źródła komunikatów w systemie, w którym jest wyświetlany dziennik zdarzeń, tak aby poprawnie wyświetlał komunikaty dziennika zdarzeń.

DownloadPobierz narzędzie PsTools (5 MB)

Narzędzia PsTools
PsLogList jest częścią rosnącego zestawu narzędzi wiersza polecenia Sysinternals, które ułatwiają administrowanie lokalnymi i zdalnymi systemami o nazwie PsTools.

Działa w:

  • Klient: Windows 8.1 lub nowszy.
  • Serwer: Windows Server 2012 i nowsze.