PsLogList — выдать дамп журнала событий удаленной или локальной системы.
Использование:
Синтаксис
psloglist [- ] [\computer[,computer[,...] | @file
[-u user [-p passwd]]] [-s [-t delim]]
[-m #|-n #|-h #|-d #|-w]
[-c][-x][-r][-a mm/dd/yy][-b mm/dd/yy]
[-f filter] [-i ID[,ID[,...] | -e ID[,ID[,...]]]
[-o event source[,event source][,..]]]
[-q event source[,event source][,..]]]
[-l event_log_file] <eventlog>
Настройки:
computer Компьютер с которого запрашивается дамп журнала. Default=local system
-p passwd Пароль пользователя. Если не указан, то будет предложено ввести пароль.
-u user Имя пользователя для подключения к удалённому компьютеру.
@file Выполнить команду на всех компьютера в списке.
-a Дамп записей сделанных после указанной даты.
-b Дамп записей сделанных до указанной даты.
-c Очистить event log после вывода на экран.
-d # Показать записи за последние # дней.
-e ID Исключить события со специальным ID или специальными IDs (до 10 шт.).
-f filter Фильтровать события по определённому фильтру ("-f w" покажет warnings).
-h # Показать записи за последние # часов.
-i ID Показать события со специальным ID или специальными IDs (до 10 шт.).
-l event_log_file Дамп записей из специального лог файла.
-m # Показать записи за последние # минут.
-n # Показать только # количество наиболее значимых записей.
-o event source Показать записи только определённого устройства ("-o cdrom").
-q event source Пропустить записи определённого устройства (e.g. "-q cdrom").
-r Дамп log от наименее важного к наиболее.
-s Вывести записи Event Log по одно на строку, с разделителями в виде запятых.
Этот формат удобен для текстовых поисковиков, например psloglist | findstr /i text
и для импорта вывода в таблицу.
-t delim Запятая - разделитель по умолчанию, но он может быть заменён на любой спец символ.
-w Ожидать новые события, дампить их как только они сгенерируются (только для локальных систем).
-x Дампить дополнительную информацию.
eventlog приложения, system или security.
default=system log.
-accepteula Отключить диалоговое окно о лицензионном соглашении.
Если текущие политики безопасности не дают доступа к Event Log, то надо использовать другого пользователя username ( -u user ).
При первом запуске, PsLogList создаст ключ в реестре HKCUSoftwareSysinternalsPsLogListEulaAccepted=0x01
Примеры:
Вывести все событи приложений на \workstation64 за последние 24 часа:
psloglist \workstation64 -h 24 application
Выдать в файл otlup.txt информацию об отказе в доступе (событие c id = 529 в журнале Security) на компьютере с адресом 192.168.0.25 за последние 7 дней:
psloglist.exe \192.168.0.25 -u admin -p admpass -d 7 -i 529 Security > otlup.txt
Выдать в файл errors.txt информацию о предупреждениях и ошибках за последние 3 дня на текущем компьютере в журнале System:
psloglist.exe -u admin -p admpass -d 3 -f we > errors.txt
Если вы не знаете номер идентификатора события, но знаете его смысловое описание, то можно объединить выполнение PSloglist.exe с параметром -s, в цепочку с утилитой findstr.exe, указав последней ключевое слово (несколько слов) для поиска. Первый пример можно было бы выполнить и так:
psloglist.exe \192.168.0.25 -u admin -p admpass -d 7 Security | findstr -I /C:FAILURE > otlup.txt
Ключ /C: задает строку поиска, ключ -I указывает, что не надо учитывать регистр символов. Если в строке поиска есть пробелы, то ее надо заключить в двойные кавычки — /C:»Audit Failure».