PsLogList v2.82
作者:Mark Russinovich
发布时间:2023 年 3 月 30 日
下载 PsTools(5 MB)
介绍
资源工具包附带实用工具 elogdump,允许在本地或远程计算机上转储事件日志的内容。 PsLogList是 elogdump 的克隆,但PsLogList允许在当前安全凭据集不允许访问事件日志的情况下登录到远程系统,PsLogList从你查看的事件日志所在的计算机上检索消息字符串。
安装
只需将PsLogList复制到可执行文件路径,然后键入 "psloglist"。
使用 PsLogList
PsLogList的默认行为是采用事件日志记录的直观友好格式,在本地计算机上显示系统事件日志的内容。 命令行选项允许查看不同计算机上的日志、使用不同的帐户查看日志,或者以字符串搜索友好方式设置输出格式。
用法:psloglist [- ] [\\computer[,计算机[,...] | @file [-u 用户名 [-p 密码]]] [-s [-t 分隔符]] [-m #|-n #|-h #|-d #|-w][-c][-x][-r][-a mm/dd/yy][-b mm/dd/yy][-f 筛选器] [-i ID[,ID[,...] | -e ID[,ID[,...]]] [-o 事件源[,事件源][,..]]] [-q 事件源[,事件源][,..]]] [-l 事件日志文件] <eventlog>
| 参数 | 说明 |
|---|---|
| @file | 在文件中列出的每台计算机上执行命令。 |
| -a | 转储在指定日期之后标记的记录。 |
| -b | 转储在指定日期之前标记的记录。 |
| -c | 显示后清除事件日志。 |
| -d | 仅显示前 n 天的记录。 |
| -c | 显示后清除事件日志。 |
| -e | 排除具有指定 ID 或 ID 的事件(最多 10 个)。 |
| -f | 使用筛选器字符串筛选事件类型(例如,"-f w" 筛选警告)。 |
| -h | 仅显示前 n 个小时的记录。 |
| -i | 仅显示具有指定 ID 或 ID 的事件(最多 10 个)。 |
| -l | 从指定的事件日志文件转储记录。 |
| -m | 仅显示前 n 分钟的记录。 |
| -n | 仅显示指定的最新条目数。 |
| -o | 仅显示来自指定事件源的记录(例如 \"-o cdrom\")。 |
| -p | 指定用户名的可选密码。 如果省略此内容,系统将提示你输入隐藏密码。 |
| -q | 省略指定事件源或源中的记录(例如 \"-q cdrom\") 。 |
| -r | 从最远到最近转储日志。 |
| -s | 此开关每行都有PsLogList打印事件日志记录,字段用逗号分隔。 此格式便于文本搜索,例如 psloglist |
| -t | 默认分隔符为逗号,但可以使用指定的字符替代。 |
| -u | 指定登录远程计算机的可选用户名。 |
| -w | 等待新事件,在生成时将其转储(仅本地系统)。 |
| -x | 转储扩展数据 |
| eventlog | eventlog |
工作方式
与 Win NT/2K 的内置事件查看器和资源工具包的 elogdump 一样,PsLogList使用事件日志 API,该 API 记录在 Windows 平台 SDK 中。 PsLogList在正在查看的事件日志所在的系统上加载消息源模块,以便正确显示事件日志消息。
下载 PsTools(5 MB)
PsTools
PsLogList是 Sysinternals 命令行工具日益增多的工具包的一部分,可帮助管理名为PsTools的本地和远程系统。
运行平台:
- 客户端:Windows 8.1 及更高版本。
- 服务器:Windows Server 2012 及更高版本。