PsLogList v2.82
作者:Mark Russinovich
发布日期:2023 年 3 月 30 日
下载 PsTools (5 MB)
简介
资源工具包附带一个实用工具 elogdump,可用于将事件日志的内容转储到本地或远程计算机上。 PsLogList 是 elogdump 的克隆,但 PsLogList 允许你在当前安全凭据集不允许访问事件日志的情况下登录到远程系统, PsLogList 从你查看的事件日志所在的计算机上检索消息字符串。
安装
只需将 PsLogList 复制到可执行文件路径,然后键入“psloglist”。
使用 PsLogList
PsLogList 的默认行为是在本地计算机上显示系统事件日志的内容,并采用事件日志记录的直观友好格式。 使用命令行选项可以查看不同计算机上的日志、使用不同的帐户查看日志,或者以字符串搜索友好方式设置输出格式。
usage: psloglist [- ] [\\computer[,computer[,...] | @file [-u 用户名 [-p password]][-s [-t 分隔符]][-m #|-n #|-h #|-d #|-w][-c][-x][-r][-a mm/dd/yy][-b mm/dd/yy][-f 筛选器][-i ID[,ID[,...] | -e ID[,ID[,...]]][-o 事件源[,事件源][,..]]] [-q 事件源[,事件源][,..]]] [-l 事件日志文件] <eventlog>
| 参数 | 描述 |
|---|---|
| @file | 在文件中列出的每台计算机上执行 命令。 |
| -a | 在指定日期之后标记的转储记录。 |
| -b | 在指定日期之前标记的转储记录。 |
| -c | 显示后清除事件日志。 |
| -d | 仅显示前 n 天的记录。 |
| -c | 显示后清除事件日志。 |
| -e | 排除具有指定 ID 或 ID 的事件 (最多 10) 。 |
| -f | 使用筛选器字符串 (筛选事件类型,例如“-f w”,以筛选) 警告。 |
| -h | 仅显示过去 n 小时的记录。 |
| -i | 仅显示具有指定 ID 或 ID 的事件 (最多 10) 。 |
| -l | 从指定的事件日志文件转储记录。 |
| -m | 仅显示前 n 分钟的记录。 |
| -n | 仅显示指定的最新条目数。 |
| -o | 仅显示来自指定事件源 (的记录,例如 \“-o cdrom\”) 。 |
| -p | 指定用户名的可选密码。 如果省略此项,系统会提示输入隐藏的密码。 |
| -q | 省略指定事件源或源 (的记录,例如 \“-q cdrom\”) 。 |
| -r | SDump 日志从最不最近到最近。 |
| -s | 此开关的 PsLogList 打印事件日志记录每行一个,用逗号分隔的字段。 此格式便于文本搜索,例如 psloglist |
| -t | 默认的限定符为逗号,但可以使用指定的字符替代。 |
| -u | 指定登录远程计算机的可选用户名。 |
| -w | 等待新事件,在仅) 生成 (本地系统时将其转储。 |
| -x | 转储扩展数据 |
| eventlog | eventlog |
工作方式
与 Win NT/2K 的内置事件查看器和资源工具包的 elogdump 一样,PsLogList 使用事件日志 API,该 API 记录在 Windows 平台 SDK 中。 PsLogList 在正在查看事件日志的系统上加载消息源模块,以便正确显示事件日志消息。
下载 PsTools (5 MB)
PsTools
PsLogList 是不断壮大的 Sysinternals 命令行工具工具包的一部分,这些工具可帮助管理名为 PsTools 的本地系统和远程系统。
运行于:
- 客户端:Windows 8.1 及更高。
- 服务器:Windows Server 2012及更高。