Làng Công nghệ Tổng hợp

Sử dụng WEVTUTIL để quản lý các bản ghi sự kiện

Derek Melber

Chờ đợi và cuối cùng những gì mà Microsoft đã tốn nhiều thời gian và công sức nhằm cung cấp cho chúng ta một Event Viewer hữu dụng cũng đã được ra mắt. Windows Vista và Windows Server 2008 ra mắt với Event Viewer mới được sửa lại cũng như một số công cụ bổ sung, thực sự làm cho bạn dễ dàng hơn trong sử dụng Event Viewer, giúp cho việc quản lý thực sự dễ dàng. Thêm vào với tùy chọn đăng ký mới mà Event Viewer hiện đang có còn có một tiện ích dòng lệnh mới, đó chính là WEVTUTIL, tiện ích này cho phép bạn có thể kiểm soát gần như mọi khía cạnh các bản ghi của Event Viewer.

Lệnh và cú pháp WEVTUTIL

Do lệnh WEVTUTIL có thể kiểm soát gần như mọi khía cạnh của Event Viewer và các bản ghi nên chúng có một số lượng khổng lồ các tham số cũng như khóa chuyển đổi để kiểm soát các vấn đề chi tiết.

Cấu trúc cú pháp của WEVTUTIL được cho dưới đây:

wevtutil [{el | enum-logs}] [{gl | get-log} [/f: ]] 

[{sl | set-log} [/e:] [/i:] [/lfn:] [/rt:] [/ab:] [/ms:] [/l:] [/k:] [/ca:] [/c:]] 

[{ep | enum-publishers}] 

[{gp | get-publisher} [/ge: ] [/gm:] [/f: ]] [{im | install-manifest} ] 

[{um | uninstall-manifest} ] [{qe | query-events} [/lf:] [/sq:] [/q:] [/bm:] [/sbm:] [/rd:] [/f: ] [/l:] [/c:] [/e:]] 

[{gli | get-loginfo} [/lf:]] 

[{epl | export-log} [/lf:] [/sq:] [/q:] [/ow:]] 

[{al | archive-log} [/l:]] 

[{cl | clear-log} [/bu:]] [/r:] [/u:] [/p: ] [/a:] [/uni:]

Cũng như bất cứ lệnh nào, các tham số đều có một số switch có tính bắt buộc, còn các thành phần khác hoàn toàn mang tính chất tùy chọn. Cú pháp này cũng rất quan trọng với các dấu hai chấm (:), các cú pháp khác thường sử dụng khoảng trống giữa khóa chuyển đổi (switch) và đường dẫn (path), một số khác cần đến dấu trích dẫn (“ “). Bảng dưới đây sẽ mô tả mỗi tham số và giới thiệu cú pháp của các khóa chuyển đổi mang tính tùy chọn. Bạn có thể lấy thêm mô tả chi tiết hơn về các tham số cũng như tùy chọn từ trang Wevtutil của Microsoft TechNet.

Tham số

Mô tả

{el | enum-logs}

Hiển thị tên của tất cả các bản ghi, gồm có tất cả các bản ghi Windows mới cùng với cú pháp của chúng.

{gl | get-log} [/f: ]

Cho phép chỉ định một bản ghi, sau đó sẽ hiển thị trạng thái của bản ghi. Trạng thái và thông tin sẽ bao gồm nội dung bản ghi được kích hoạt hay vô hiệu hóa, các hạn chế về kích thước của bản ghi cũng như đường dẫn đến nơi bản ghi được lưu.

{sl | set-log} [/e:] [/i:] [/lfn:] [/rt:] [/ab:] [/ms:] [/l:] [/k:] [/ca:] [/c:]

Cho phép thay đổi các cấu hình chi tiết của bản ghi mà bạn chỉ định.

{ep | enum-publishers}

Hiển thị các bộ phát hành sự kiện (event) trên máy tính nội bộ. Những bộ phát hành sự kiện là các thành phần có thể tạo sự kiện và sau đó phân phối chúng đến Event Viewer.

{gp | get-publisher} [/ge: ] [/gm:] [/f: ]]

Cho phép bạn chỉ định bộ phát hành sự kiện, sau đó sẽ hiển thị các thông tin cấu hình của bộ phát hành sự kiện đó.

{qe | query-events} [/lf:] [/sq:] [/q:] [/bm:] [/sbm:] [/rd:] [/f: ] [/l:] [/c:] [/e:]

Lệnh này cho phép thu được các sự kiện đối với một bản ghi nào đó. Bản ghi có thể là từ event viewer, log file, hoặc sử dụng một truy vấn cấu trúc. Trong hầu hết các trường hợp bạn chỉ cần đánh tên bản ghi thay cho đường dẫn. Nếu sử dụng tùy chọn /lf thì bạn cần nhập vào đường dẫn đến file bản ghi muốn đọc. Để sử dụng truy vấn cấu trúc, bạn phải sử dụng tham số /sq cùng với đường dẫn tới truy vấn cấu trúc.

{gli | get-loginfo} [/lf:]

Cho phép thu thập các thông tin về bản ghi sự kiện hoặc các file bản ghi. Đây là một lệnh rất tốt để có thể xem toàn bộ thông tin về bản ghi.

{epl | export-log} [/lf:] [/sq:] [/q:] [/ow:]

Cho phép export các sự kiện vào một file. Bạn có thể export từ một bản ghi trong Event Viewer, một file bản ghi hoặc sử dụng một truy vấn cấu trúc. Export các sự kiện từ một bản ghi sự kiện và từ một file bản ghi hoặc sử dụng truy vấn cấu trúc đối với một file nào đó. Trong hầu hết tất cả các trường hợp bạn chỉ cần đánh tên bản thi vào đường dẫn. Nếu sử dụng tùy chọn /lf thì bạn cần phải nhập vào đường dẫn đến file bản ghi muốn đọc. Để sử dụng truy vấn, bạn phải sử dụng tham số /sq cùng với đường dẫn để truy vấn. là đường dẫn đến file mà bạn muốn các sự kiện export được lưu ở đó.

{al | archive-log} [/l:]

Cho phép lưu bản ghi mà bạn chỉ định. Vị trí lưu trữ sẽ là một thư mục con với tất cả các thông tin đã được lưu trong thư mục con này.

{cl | clear-log} [/bu:]

Cho phép xóa các sự kiện của bản ghi mà bạn chỉ định. Nếu bạn muốn thực hiện một backup của các sự kiện đã xóa thì có thể sử dụng tùy chọn /bu.

Bảng 1

Các ví dụ sử dụng WEVTUTIL hữu ích

Với quá nhiều bản ghi mới và các bộ phát hành mới có trong Windows Vista và Windows Server 2008, sẽ thật là một ý tưởng hay nếu bạn không cần phải nhớ tất cả chúng. Rõ ràng bạn luôn có thể theo dõi Event Viewer để xem tất cả các liệt kê. Vấn đề với tùy chọn này là bạn không phải lúc nào cũng biết cú pháp của bản ghi hoặc bộ phát hành mà bạn muốn tập trung. Thay vì đó bạn có thể sử dụng một trong các lệnh dưới đây để có được danh sách về tất cả các bản ghi và bộ phát hành.

Ví dụ 1: Hình 1 thể hiện cách liệt kê tất cả các bản ghi sự kiện từ một máy tính nội bộ.


Hình 1: Sử dụng tham số el sẽ cho bạn có được cả một danh sách đầy đủ các bản ghi sự kiện trên máy tính nội bộ.

Ví dụ 2: Hình 2 thể hiện cách bạn đạt được một danh sách đầy đủ tất cả các bộ phát hành sự kiện từ máy tính nội bộ.


Hình 2: Sử dụng tham số ep sẽ cho phép bạn có được một danh sách các bộ phát hành sự kiện trên máy tính nội bộ.

Ví dụ 3: Hình 3 thể hiện cách lấy thông tin về một bản ghi sự kiện nào đó.


Hình 3: Sử dụng tham số gl và tên bản ghi sự kiện để hiển thị các thông tin về bản ghi đó

Ví dụ 4: Hình 4 thể hiện cho bạn cách export các sự kiện từ một bản ghi event viewer đến một file để lưu trữ hoặc cho các mục đích lưu trữ khác.


Hình 4: Sử dụng tham số epl sẽ cho phép bạn export một bản ghi sự kiện vào một file

Ví dụ 5: Hình 5 minh chứng cho bạn cách xóa một bản ghi, kết hợp với việc tạo một backup cho file bản ghi trước khi nó được mang đi xóa.


Hình 5: Sử dụng tham số cl kết hợp với khóa chuyển đổi the /bu: sẽ backup một bản ghi rồi sau đó xóa nó.

Kết luận

Như những gì bạn đã thấy, sự kiểm soát có được với các bản ghi sự kiện sẽ nhiều hơn với WEVTUTIL. Công cụ này có trong cả hai hệ điều hành Windows Vista và Windows Server 2008, cho phép bạn kiểm soát hầu hết các khía cạnh của các bản ghi được tạo ra. Windows Vista và Windows Server 2008 có một loạt các bản ghi mà bạn có thể tận dụng, và với tiện ích dòng lệnh này, bạn hoàn toàn có thể quản lý chúng được tốt hơn. Bạn cũng có thể quản lý các bản ghi và lưu trữ chúng bằng lệnh WEVTUTIL với một WEVTUTIL hoặc kết hợp với một công cụ kịch bản ưa thích nào đó. Nếu sử dụng PowerShell, thì bạn cũng có thể quản lý WEVTUTIL bằng sử dụng giao diện này.

Thứ Năm, 14/06/2018 17:13
31 👨 690

Bạn nên đọc

0 Bình luận
Sắp xếp theo
❖
Xóa Đăng nhập để Gửi

    Có thể bạn quan tâm

    ❖ Tổng hợp