acesso do log de eventos da linha de comando do WMI

3

Alguém pode me explicar como obter acesso a logs arbitrários do sistema em eventlog service files?

Agora estou pesquisando o WMI (wmic.exe) e tentando executar os seguintes comandos:

Para serviços do sistema, como aplicativos, essa abordagem funciona bem:

WMIC NTEVENT WHERE "LogFile='application'"

E o outro arquivo de log com a seguinte sintaxe falha.

WMIC NTEVENT WHERE "LogFile='Microsoft-Windows-CAPI2/Operational'"

leva a:

No Instance(s) Available.

Alguém pode compartilhar o comando de trabalho para fazer o trabalho ou qualquer tipo de tutorial sobre essas coisas?

    
por user3441253 14.07.2014 / 12:23

1 resposta

2

Eu sempre uso o powershell para esse tipo de coisa; há muitos cmdlets que ajudam a extrair esses dados de maneira útil e há inúmeros scripts on-line que podem obter o que você precisar.

Observação : testei isso no Windows 8 e no Server 2012 e eles funcionam bem. Você não especificou um sistema operacional. Você também precisará executar o Powershell como administrador.

O método mais simples é procurar em Visualizador de Eventos (eventvwr.exe) e clicar com o botão direito - > Propriedades no log que você deseja analisar. Encontre o Caminho do log e você pode consultar o log da seguinte forma:

get-winevent -path <full_path_to_logfile.evtx>

Como exemplo, você pode experimentar este, que deve existir em sua máquina Windows:

get-winevent -path C:\Windows\System32\winevt\Logs\Security.evtx

Get-winevent é um cmdlet integrado, portanto, você deve disponibilizá-lo. Você pode usar a lógica normal do PowerShell para remover apenas as partes que desejar ou canalizá-las para um arquivo ou muitas outras coisas divertidas. Espero que isso ajude!

    
por 15.07.2014 / 16:56