Команда eventquery позволяет получить информацию про событие из локального или удаленного журнала событий. Этот инструмент позволяет выполнять поиск событий на основе таких данных:

  • Дата и время
  • Идентификатор событий
  • Тип
  • Пользователь
  • Компьютер

Если в системе не запущены инструменты наблюдения за событиями, можно создать пакетный файл, который регулярно будет запускать утилиту eventquery и получать критические системные события от удаленной системы. Если перенаправить вывод команды в текстовый файл или файл протокола, то его можно проверять каждые две недели или каждую неделю, чтобы заранее определить, что в работе системы возникли неполадки.

После рассмотрения вариантов применения команды eventquery можно ознакомится с синтаксисом этой команды:

eventquery.vbs [/s <удаленная_система>] [/u <домен\пользователь>] [/p <пароль>] [/fi <фильтр>] [/fo <table|list|csv] [/r <диапазон>] [/l <имя_протокола>]

Параметры команды eventquery

Параметр

Использование

/s <удаленная_система>

указывает имя или адрес IP удаленной системы, на которой выполняется запрос

/u <домен\пользователь>

позволяет выполнить команду в контексте другого пользователя

/p <пароль>

при использовании параметра /u этот параметр позволяет указать пароль учетной записи пользователя

/fo <table|list|csv>

Используется для указания формата вывода команды (по умолчанию используется значение table)

/fi <filter>

позволяет использовать один из фильтров, описанных в таблице ниже, для поиска событий определенного типа

/r <диапазон>

позволяет указать количество событий, которые будут отображаться. Положительное целое значение указывает на самые последние события, а отрицательное целое значение указывает на самые первые события. Например, значение диапазона, равное 15, приведет к отображению 15 последних событий. Значение диапазона, равное -8, приведет к отображению первых восьми событий

/l <имя_журнала>

позволяет указать имя журнала, к которому будет выполняться запрос (application, system, security и т.д.) Символ * позволяет выбрать нескольких журналов одновременно

Действительные фильтры и операторы команды eventquery

Фильтр

Оператор

Допустимые значения

Category

eq, ne

Любая строка символов

Computer

eq, ne

Любая строка символов

Datetime

eq, ne, ge, le, gt, lt

11/12/2010, ÷÷:06:00 (AM|PM)

ID

eq, ne, ge, le, gt, lt, or

Любое положительное целое

Source

eq, ne

Любая строка символов

Type

eq, ne

Error | Information | Warning | SuccessAudit | FailureAudit

User

eq, ne

Любая строка символов

Оператор or используется для обозначения функции OR. Например, для фильтрации идентификатора события 5719 или 2506 необходимо воспользоваться таким параметром при выполнении команды:

 /fi "ID eq 5719 or ID eq 2506"

Помните, что из-за того, что команда eventquery является сценарием Visual Basic, ее необходимо выполнять с помощью cscript и вызывать только в каталоге, где находится сама команда (то есть, в каталоге System32).

Вот два примера использования команды eventquery для осуществления запросов событий.

Чтобы проверить проверки наличия критических (ошибочных) событий на компьютере www.microsoft.com введите такую команду:

eventquery.vbs /s www.microsoft.com /l system /fi "type eq error"

Введите такую команду запроса всех событий в локальном журнале безопасности:

eventquery.vbs /l security

В следующей статье мы расскажем об использовании очередной утилиты для диагностики системы – утилиты командной строки eventtriggers.