Sintaxis
eventquery[.vbs] [/s equipo [/u dominio\usuario [/p contraseña]]] [/fi nombreDeFiltro] [/fo {TABLE|LIST|CSV}] [/r intervaloDeSucesos [/nh] [/v] [/l [APPLICATION] [SYSTEM] [SECURITY] ["DNS server"] [registroDefinidoPorUsuario] [nombreRegistroDirectorio] [*] ]
Parámetros
- /s equipo: especifica el nombre o la dirección IP de un equipo remoto. El valor predeterminado es el equipo local (localhost).
- /u dominio\usuario: ejecuta la secuencia de comandos con los permisos de cuenta del usuario especificado por usuario o dominio\usuario. El valor predeterminado son los permisos del usuario que inició la sesión actual en el equipo desde el que se ejecuta el comando.
- /p contraseña: especifica la contraseña de la cuenta de usuario especificada en el parámetro /u.
- /fi nombreDeFiltro: especifica los tipos de sucesos que se deben incluir o excluir de la consulta. Para buscar sucesos con cualquier valor, es posible utilizar conjuntamente Type e ID en una única instrucción de sintaxis mediante el operador or. Los siguientes son nombres de filtro, operadores y valores válidos.
- /fo {TABLE|LIST|CSV}: especifica el formato en el que se mostrará el resultado. Los valores válidos son table, list y csv.
- /r intervaloDeSucesos: especifica el intervalo de los sucesos que se van a enumerar:
- /nh: elimina el encabezado de las columnas en el resultado. Sólo es válido para los formatos table y csv.
- /v: especifica que se debe mostrar información detallada de los sucesos en el resultado.
- /l [APPLICATION] [SYSTEM] [SECURITY] ["DNS server"] [registroDefinidoPorUsuario] [nombreRegistroDirectorio] [*] ] : especifica el registro o los registros que se van a supervisar. Los valores válidos son Application, System, Security, "DNS server", un registro definido por el usuario y el registro de directorio. "DNS server" sólo se puede utilizar si el servicio DNS se está ejecutando en el equipo especificado por el parámetro /s. Para especificar varios registros que se deben supervisar, utilice varias veces el parámetro /l. Se puede utilizar el carácter comodín (*) y es el valor predeterminado para indicar que muestre todos los registros.
Nombre | Operador | Valor |
---|---|---|
Datetime | eq, ne, ge, le, gt, lt | mm/dd/aa(aaaa), hh:mm:ssAM(/PM) |
Type | eq, ne, or | {ERROR|INFORMATION|WARNING|SUCCESSAUDIT|FAILUREAUDIT} |
ID | eq, ne, or, ge, le, gt, lt | Cualquier número entero positivo. |
User | eq, ne | Cualquier cadena válida. |
Computer | eq, ne | Cualquier cadena válida. |
Source | eq, ne | Cualquier cadena válida. |
Category | eq, ne | Cualquier cadena válida. |
Valor | Descripción |
---|---|
N | Enumera los N sucesos más recientes. |
-N | Enumera los N sucesos más antiguos. |
N1-N2 | Enumera los sucesos comprendidos entre N1 y N2. |
Nota: para ejecutar esta secuencia de comandos, CScript debe estar en ejecución. Si aún no ha establecido Windows Script Host a CScript como predeterminado, escriba:
cscript //h:cscript //s //nologo
Ejemplos
- Mostrar los eventos de "sistema":
eventquery /l system
- Guardar todos los eventos (detallados) del equipo "servidor" correspondiente al dominio Windows "ajpdsoft" en el fichero "eventos.txt":
eventquery /s servidor /u ajpdsoft\nombre_usuario /p contraseña_usuario /v /l * /fo csv > eventos.txt
- Mostrar los 100 sucesos más recientes de tipo "application" (aplicación), en formato tabla sin encabezados:
eventquery /r 100 /l application /fo table /nh
- Muestra los sucesos que han tenido lugar el 20 de diciembre de 2009 de tipo application:
eventquery /fi "Datetime eq 12/20/2009" /l application