Eventquery


Sintaxis

eventquery[.vbs] [/s equipo [/u dominio\usuario [/p contraseña]]] [/fi nombreDeFiltro] [/fo {TABLE|LIST|CSV}] [/r intervaloDeSucesos [/nh] [/v] [/l [APPLICATION] [SYSTEM] [SECURITY] ["DNS server"] [registroDefinidoPorUsuario] [nombreRegistroDirectorio] [*] ]

Parámetros

  • /s equipo: especifica el nombre o la dirección IP de un equipo remoto. El valor predeterminado es el equipo local (localhost).
  • /u dominio\usuario: ejecuta la secuencia de comandos con los permisos de cuenta del usuario especificado por usuario o dominio\usuario. El valor predeterminado son los permisos del usuario que inició la sesión actual en el equipo desde el que se ejecuta el comando.
  • /p contraseña: especifica la contraseña de la cuenta de usuario especificada en el parámetro /u.
  • /fi nombreDeFiltro: especifica los tipos de sucesos que se deben incluir o excluir de la consulta. Para buscar sucesos con cualquier valor, es posible utilizar conjuntamente Type e ID en una única instrucción de sintaxis mediante el operador or. Los siguientes son nombres de filtro, operadores y valores válidos.
  • Nombre Operador Valor
    Datetime eq, ne, ge, le, gt, lt mm/dd/aa(aaaa), hh:mm:ssAM(/PM)
    Type eq, ne, or {ERROR|INFORMATION|WARNING|SUCCESSAUDIT|FAILUREAUDIT}
    ID eq, ne, or, ge, le, gt, lt Cualquier número entero positivo.
    User eq, ne Cualquier cadena válida.
    Computer eq, ne Cualquier cadena válida.
    Source eq, ne Cualquier cadena válida.
    Category eq, ne Cualquier cadena válida.
  • /fo {TABLE|LIST|CSV}: especifica el formato en el que se mostrará el resultado. Los valores válidos son table, list y csv.
  • /r intervaloDeSucesos: especifica el intervalo de los sucesos que se van a enumerar:
  • Valor Descripción
    N Enumera los N sucesos más recientes.
    -N Enumera los N sucesos más antiguos.
    N1-N2 Enumera los sucesos comprendidos entre N1 y N2.

     

  • /nh: elimina el encabezado de las columnas en el resultado. Sólo es válido para los formatos table y csv.
  • /v: especifica que se debe mostrar información detallada de los sucesos en el resultado.
  • /l [APPLICATION] [SYSTEM] [SECURITY] ["DNS server"] [registroDefinidoPorUsuario] [nombreRegistroDirectorio] [*] ] : especifica el registro o los registros que se van a supervisar. Los valores válidos son Application, System, Security, "DNS server", un registro definido por el usuario y el registro de directorio. "DNS server" sólo se puede utilizar si el servicio DNS se está ejecutando en el equipo especificado por el parámetro /s. Para especificar varios registros que se deben supervisar, utilice varias veces el parámetro /l. Se puede utilizar el carácter comodín (*) y es el valor predeterminado para indicar que muestre todos los registros.

Nota: para ejecutar esta secuencia de comandos, CScript debe estar en ejecución. Si aún no ha establecido Windows Script Host a CScript como predeterminado, escriba:

cscript //h:cscript //s //nologo

 

Ejemplos

  • Mostrar los eventos de "sistema":

eventquery /l system

  • Guardar todos los eventos (detallados) del equipo "servidor" correspondiente al dominio Windows "ajpdsoft" en el fichero "eventos.txt":

eventquery /s servidor /u ajpdsoft\nombre_usuario /p contraseña_usuario /v /l * /fo csv > eventos.txt

  • Mostrar los 100 sucesos más recientes de tipo "application" (aplicación), en formato tabla sin encabezados:

eventquery /r 100 /l application /fo table /nh

  • Muestra los sucesos que han tenido lugar el 20 de diciembre de 2009 de tipo application:

eventquery /fi "Datetime eq 12/20/2009" /l application

alonsojpd

alonsojpd

Presidente y fundador de Proyecto A y AjpdSoft

Deja un comentario