DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 317381 - Última revisão: sexta-feira, 2 de março de 2007 - Revisão: 6.3

 

Nesta página

Sumário

Este artigo descreve como usar a ferramenta de script de consulta de evento (Eventquery.pl arquivo) para exibir eventos de logs de Visualizar eventos de computadores baseados no Microsoft Windows 2000.

Um evento é qualquer ocorrência significativa no sistema ou em um programa, que requer que os usuários sejam notificados ou requer que uma entrada ser feita em um log. O serviço log de eventos registra eventos nos logs de aplicativo, segurança e sistema em Visualizar eventos. Além disso, eventos são gravados para o serviço de diretório e serviço de duplicação de arquivos logon em controladores de domínio e log do servidor DNS nos servidores de nome de domínio (DNS).

Usando Visualizar eventos, você pode obter informações sobre seu hardware, software e componentes do sistema e você pode monitorar eventos de segurança em um computador local ou remoto. Logs de eventos pode ajudar a identificar e diagnosticar a origem dos problemas de sistema atual e prever possíveis problemas de sistema de Ajuda.

Requisitos de sistema para Eventquery.pl

A ferramenta de script de consulta de eventos está disponível no Microsoft Windows 2000 Resource Kit Supplement 1. Essa ferramenta de script é executado em um computador de origem e age em um computador de destino (que pode ser o mesmo computador que o computador de origem). Antes de usar essa ferramenta para consultar os logs de eventos do local ou um computador remoto, os requisitos seguintes devem ser atendidos:

Computador de origem

  • O computador está executando Windows 2000 ou Windows 2000 Server.
  • ActiveState ActivePerl Build 521 está instalado. Este programa está disponível no Windows 2000 Resource Kit.

    O computador também deve ser configurado corretamente para executar os scripts Perl que estão incluídos no suplemento 1 do Windows 2000 Resource Kit. O módulo do provedor WMI do Resource Kit, WMI.PM, deve estar na pasta \Site\Lib\W2rk Perl Installation Folder. O programa de instalação do Kit de recursos normalmente cria a pasta W2rk e copia o arquivo WMI.PM para essa pasta.

    Se o programa de instalação não criar automaticamente a pasta W2rk, manualmente pode criá-la e configurar o ambiente no qual executar Eventquery.p. Para obter mais informações sobre como fazer isso, consulte a seção Troubleshooting neste artigo.
  • Você deve estar conectado como um membro do grupo Administradores para exibir eventos de log de segurança.

Computador de destino

  • O computador está executando o Windows 2000 Professional ou Windows 2000 Server

Visão geral do Eventquery.pl

Eventquery.pl usa a seguinte sintaxe:
Eventquery.pl EventLog [EventLog...] | * [ -s Computer [ -u Domain\User -p Password]] [ - n o intervalo | -n | Begin-End] [ - Formatar tabela | lista | csv ] [-v] [ - filter "FieldOperatorValue" [ - filter "FieldOperatorValue"...]]
Os parâmetros que você pode usar com Eventquery.pl são da seguinte maneira:
  • EventLog[EventLog...] | *: Use este parâmetro para especificar os logs de eventos que você deseja pesquisar. Se você deseja pesquisar dois ou mais logs de eventos, separe cada log com um espaço. Se você desejar pesquisar todos os logs de eventos, use o caractere curinga (1). Se o nome do log de eventos contém um espaço, coloque esse nome entre aspas ("").
  • -s Computer: Use este parâmetro para especificar o nome ou o endereço IP de um computador remoto. Se você omitir esse parâmetro, o computador local é especificado.
    • -u Domain\User: Use este parâmetro para especificar a conta de usuário com o qual executar Eventquery.pl. Se você omitir esse parâmetro, Eventquery.pl usa as permissões do usuário conectado no momento. Se você usar esse parâmetro, você também deve usar o -p parâmetro para fornecer a senha do usuário.
    • -p Password: Use este parâmetro para especificar a senha da conta de usuário que é especificada pelo -u parâmetro. O -p parâmetro será necessário se você usar o -u parâmetro.
    Observação : os o -p e -u parâmetros só estarão disponíveis se você usar o -s parâmetro.

  • -intervalo n | -n | Begin-End: Use este parâmetro para especificar o número de eventos que aparecem de cada log de eventos. Se você omitir esse parâmetro, Eventquery.pl exibe todos os eventos.
    • n: Use essa variável para especificar os eventos de n mais recentes em cada log, que aparecerá em ordem decrescente, onde n é um número inteiro maior que 0 (zero).
    • -n: Use essa variável para especificar os últimos eventos n (mais antigos) em cada log, que aparecerá em ordem crescente, onde -n é um número de inteiro maior que 0 (zero).
    • Begin-End: Use essa variável para definir um intervalo de eventos em cada log, onde Begin e End são números inteiros maiores que 0 (zero).
  • -Formatar tabela | lista | csv : Use este parâmetro para especificar o formato de saída. Se você omitir esse parâmetro, Eventquery.pl usa o formato de tabela.
  • -v : Use este parâmetro para adicionar o evento dados e seções de descrição para a exibição.
  • -filter "FieldOperatorValue" [ - filter "FieldOperatorValue"...]: Use este parâmetro para especificar os critérios para eventos que são incluídos na exibição. Se você omitir esse parâmetro, todos os eventos aparecem. Use uma instância separada do filtro "FieldOperatorValue" para cada critério que você deseja especificar e separe cada parâmetro com um espaço.

    A tabela a seguir lista os operadores e valores que estão disponíveis para cada campo que é usado com o parâmetro - filter . A tabela também fornece um exemplo de cada "FieldOperatorValue":
Recolher esta tabelaExpandir esta tabela
CampoOperadorValorExemplo
Tipo= !Erro | informações | aviso (logs do sistema e aplicativo) | SuccessAudit ou FailureAudit (log de segurança)"Tipo = erro"
DateTimeTodos os operadores lógicosDate in mm/dd/aa [aa] Formatar ou Date: Time em mm/dd/yy:hh [aa]: [mm: [ss [am|pm]]] formato"datahora > 02/08/2002:11:59:59 PM"
Fonte= !Nome do componente que registrou o evento."fonte = Service Control Manager"
Categoria= !Uma classificação de evento válido"categoria = alteração de diretiva"
IDTodos os operadores lógicos.Um identificador de evento"ID! 88"
Computador= !Um nome de computador válido."computador = Servidor2"


Exemplos

  • Para exibir todos os eventos no log do aplicativo do computador local no formato de tabela padrão, digite a seguinte linha no prompt de comando e, em seguida, pressione ENTER:
    aplicativo Eventquery.pl
  • Para exibir detalhes de todos os eventos nos logs de sistema e o servidor DNS de um computador denominado Server8 em formato de lista, digite a seguinte linha no prompt de comando e pressione ENTER:
    Eventquery.pl sistema "dns server" -s server8 - formato de lista - v
  • Para executar Eventquery.pl usando a conta de administrador para exibir os eventos no log de segurança de um computador denominado Server5 no formato delimitado por vírgulas e redirecionar a saída para um arquivo chamado Srv5_Sec.csv na unidade E, digite a seguinte linha no prompt de comando e pressione ENTER:
    eventquery.pl segurança -s server5 -u mydomain \administrator -p mypassword-formato csv > e:\srv5_sec.csv
  • Para exibir um registro detalhado dos eventos em todos os logs de eventos do computador local que foram registrados entre 8: 00 e das 8: 20 em 8 de fevereiro de 2002, no formato de lista, digite a seguinte linha no prompt de comando e pressione ENTER:
    eventquery.pl * - formato de lista - v - filtro "datetime > 02/08/2002:8:00 estou datetime"-Filtrar"< 02/08/2002:08:20 estou"
  • Para pesquisar o log do sistema para instâncias do Windows File Protection ID do evento 64004 e, em seguida, exibir os eventos padrão formato de tabela, digite a seguinte linha no prompt de comando e pressione ENTER:
    eventquery.pl sistema - filtro "origem = proteção de arquivo do windows"-Filtrar"id = 64004" - v
  • Para exibir os cinco eventos mais recentes do log de aplicativo em um computador chamado Server8 no formato de tabela padrão e redirecionar a saída para o arquivo App_new.txt, digite a seguinte linha no prompt de comando e pressione ENTER:
    eventquery.pl aplicativo -s server8 - intervalo de 5 > app_new.txt
  • Para exibir todos os eventos de erro (exceto 100 de identificação de evento) que são registrados no log do aplicativo por um programa chamado MyApp no formato delimitado por vírgulas e redirecionar a saída para o arquivo C:\Myapp\Errors.csv, digite a seguinte linha no prompt de comando e, em seguida, pressione ENTER:
    eventquery.pl aplicativo - filtro "Tipo = erro de origem"-Filtrar"= myapp"-Filtrar"id! 100" - formato csv > c:\myapp\errors.csv

Solução de problemas

Quando você tenta executar Eventquery.pl, você receber a seguinte mensagem de erro:
Erro: Wmi.pm é necessário para executar o script.
Copie o WMI.PM do diretório Resource Kit para /Perl/site/lib/W2RK.
Esse comportamento pode ocorrer se o computador não está configurado corretamente para executar os scripts Perl que estão incluídos no suplemento 1 do Windows 2000 Resource Kit. Para usar Eventquery.pl, a pasta W2rk deve existir na Perl Installation Folder \Site\Lib pasta e ele deve conter o arquivo WMI.pmi.

Para resolver esse comportamento, configure manualmente o ambiente executar scripts Perl:
  1. Crie uma pasta denominada W2rk na Perl Installation Folder \Site\Lib pasta.

    Observação : O padrão de Perl Installation Folder é drive: \Perl onde drive é a unidade na qual o Windows está instalado.
  2. Copie o arquivo WMI.pmi da pasta em que o Windows 2000 Resource Kit está instalado (normalmente, \Program Files\Resource Kit) para a pasta W2rk que você criou na etapa 1.
Quando você executa Eventquery.pl, você pode receber uma ou mais mensagens semelhantes à seguinte na janela prompt de comando:
INFO: Nenhuma entrada de log ' EventLogName ' atender aos critérios de filtro.
Esse comportamento pode ocorrer se Eventquery.pl não localizou as entradas de log de eventos que atendem aos critérios de filtragem que você especificou.

Referências

Para informações adicionais sobre como exibir e gerenciar logs em Visualizar eventos, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
302542  (http://support.microsoft.com/kb/302542/ ) Diagnosticar problemas de sistema com Visualizar eventos no Microsoft Windows 2000
315417  (http://support.microsoft.com/kb/315417/ ) Como mover arquivos de log de Visualizar eventos para outro local no Windows 2000 e no Windows Server 2003
Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
315410  (http://support.microsoft.com/kb/315410/ ) Como usar o utilitário de log de eventos (logevent.exe) para criar e log de eventos personalizados em Visualizar eventos no Windows 2000
Para obter mais informações sobre o Windows 2000 Resource Kit, visite o seguinte site:
Windows 2000 Resource Kit, manuais on-line e referências
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx (http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx)

A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbmt kberrmsg kbhowto kbhowtomaster KB317381 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 317381  (http://support.microsoft.com/kb/317381/en-us/ )
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store