PsLogList — выдать дамп журнала событий удаленной или локальной системы.

Использование:

Синтаксис
      psloglist [- ] [\computer[,computer[,...] | @file
         [-u user [-p passwd]]] [-s [-t delim]]
            [-m #|-n #|-h #|-d #|-w]
               [-c][-x][-r][-a mm/dd/yy][-b mm/dd/yy]
                  [-f filter] [-i ID[,ID[,...] | -e ID[,ID[,...]]]
                     [-o event source[,event source][,..]]]
                        [-q event source[,event source][,..]]]
                           [-l event_log_file] <eventlog>

Настройки:

   computer   Компьютер с которого запрашивается дамп журнала. Default=local system 

   -p passwd  Пароль пользователя. Если не указан, то будет предложено ввести пароль.

   -u user    Имя пользователя для подключения к удалённому компьютеру.

   @file      Выполнить команду на всех компьютера в списке.

   -a         Дамп записей сделанных после указанной даты.

   -b         Дамп записей сделанных до указанной даты.

   -c         Очистить event log после вывода на экран.

   -d #       Показать записи за последние # дней.

   -e ID      Исключить события со специальным ID или специальными IDs (до 10 шт.).

   -f filter  Фильтровать события по определённому фильтру ("-f w" покажет warnings).

   -h #       Показать записи за последние # часов.

   -i ID      Показать события со специальным ID или специальными IDs (до 10 шт.).

   -l event_log_file  Дамп записей из специального лог файла.

   -m #       Показать записи за последние # минут.

   -n #       Показать только # количество наиболее значимых записей.

   -o event source Показать записи только определённого устройства ("-o cdrom").

   -q event source Пропустить записи определённого устройства (e.g. "-q cdrom").

   -r         Дамп log от наименее важного к наиболее.

   -s         Вывести записи Event Log по одно на строку, с разделителями в виде запятых.
              Этот формат удобен для текстовых поисковиков, например psloglist | findstr /i text
              и для импорта вывода в таблицу.

   -t delim   Запятая - разделитель по умолчанию, но он может быть заменён на любой спец символ.

   -w         Ожидать новые события, дампить их как только они сгенерируются (только для локальных систем).

   -x         Дампить дополнительную информацию.

   eventlog   приложения, system или security.
              default=system log.

   -accepteula Отключить диалоговое окно о лицензионном соглашении.

Если текущие политики безопасности не дают доступа к Event Log, то надо использовать другого пользователя username ( -u user ).

При первом запуске, PsLogList создаст ключ в реестре HKCUSoftwareSysinternalsPsLogListEulaAccepted=0x01

Примеры:

Вывести все событи приложений на \workstation64 за последние 24 часа:
psloglist \workstation64 -h 24 application

Выдать в файл otlup.txt информацию об отказе в доступе (событие c id = 529 в журнале Security) на компьютере с адресом 192.168.0.25 за последние 7 дней:
psloglist.exe \192.168.0.25 -u admin -p admpass -d 7 -i 529 Security > otlup.txt

Выдать в файл errors.txt информацию о предупреждениях и ошибках за последние 3 дня на текущем компьютере в журнале System:
psloglist.exe -u admin -p admpass -d 3 -f we > errors.txt

Если вы не знаете номер идентификатора события, но знаете его смысловое описание, то можно объединить выполнение PSloglist.exe с параметром -s, в цепочку с утилитой findstr.exe, указав последней ключевое слово (несколько слов) для поиска. Первый пример можно было бы выполнить и так:
psloglist.exe \192.168.0.25 -u admin -p admpass -d 7 Security | findstr -I /C:FAILURE > otlup.txt

Ключ /C: задает строку поиска, ключ -I указывает, что не надо учитывать регистр символов. Если в строке поиска есть пробелы, то ее надо заключить в двойные кавычки — /C:»Audit Failure».