PsLogList v2.81

Por Mark Russinvl

Publicado: 5 de marzo de 2019

DescargarDescargar PsTools(2,7 MB)

Introducción

El Kit de recursos incluye una utilidad, elogdump, que permite volcar el contenido de un registro de eventos en el equipo local o remoto. PsLogList es un clon de elogdump, salvo que PsLogList permite iniciar sesión en sistemas remotos en situaciones en las que el conjunto actual de credenciales de seguridad no permitiría el acceso al registro de eventos y PsLogList recupera cadenas de mensaje del equipo en el que reside el registro de eventos que ve.

Instalación

Simplemente copie PsLogList en la ruta de acceso ejecutable y escriba "psloglist".

Uso de PsLogList

El comportamiento predeterminado de PsLogList es mostrar el contenido del registro de eventos del sistema en el equipo local, con un formato visualmente descriptivo de los registros de eventos. Las opciones de la línea de comandos permiten ver registros en equipos diferentes, usar una cuenta diferente para ver un registro o tener el formato de salida de una manera fácil de realizar búsquedas de cadenas.

usage: psloglist [- ] [\\computer[,computer[,...] | @file [-u username [-p password]]] [-s [-t delimiter]] [-m #|-n #|-h #|-d #| -w][-c][-x][-r][-a mm/dd/yy][-b mm/dd/yy][-f filter] [-i ID[,ID[,...] | -e ID[,ID[,...]]] [-o event source[,event source][,..]]] [-q event source[,event source][,..]]] [-l archivo de registro de eventos] < Eventlog>

Parámetro Descripción
@file Ejecute el comando en cada uno de los equipos enumerados en el archivo.
-a Registros de volcado de marca de tiempo después de la fecha especificada.
-b Volcar registros con marca de tiempo antes de la fecha especificada.
-c Borre el registro de eventos después de mostrarlo.
-d Mostrar solo los registros de los n días anteriores.
-c Borre el registro de eventos después de mostrarlo.
-e Excluya eventos con el identificador o los identificadores especificados (hasta 10).
-f Filtre los tipos de eventos con cadena de filtro (por ejemplo, "-f w" para filtrar las advertencias).
-h Mostrar solo los registros de las n horas anteriores.
-i Mostrar solo los eventos con el identificador o los identificadores especificados (hasta 10).
-l Volcado de registros del archivo de registro de eventos especificado.
-m Mostrar solo los registros de los n minutos anteriores.
-n Solo se muestra el número de entradas más recientes especificadas.
-o Mostrar solo los registros del origen de eventos especificado (por ejemplo, \"-o cdrom\").
-p Especifica la contraseña opcional para el nombre de usuario. Si lo omite, se le pedirá que escriba una contraseña oculta.
-q Omita los registros del origen o orígenes de eventos especificados (por ejemplo, \"-q cdrom\").
-r Registro de SDump de menos reciente a más reciente.
-s Este modificador tiene registros de eventos de impresión PsLogList una por línea, con campos delimitados por comas. Este formato es práctico para las búsquedas de texto, por ejemplo, psloglist.
-t El delimeter predeterminado es una coma, pero se puede invalidar con el carácter especificado.
-u Especifica el nombre de usuario opcional para el inicio de sesión en el equipo remoto.
-w Espere a que se generen nuevos eventos, volcarlos a medida que se generan (solo el sistema local).
-x Volcado de datos extendidos
Eventlog Eventlog

Funcionamiento

Al igual que el Visor de eventos integrado de Win NT/2K y el elogdump del Kit de recursos, PsLogList usa la API de registro de eventos, que se documenta en Windows Platform SDK. PsLogList carga los módulos de origen del mensaje en el sistema donde reside el registro de eventos que se está visualizando para que muestre correctamente los mensajes del registro de eventos.

DescargarDescargar PsTools(2,7 MB)

PsTools
PsLogList forma parte de un creciente kit de herramientas de línea de comandos de Sysinternals que ayudan a la administración de sistemas locales y remotos denominados PsTools.

Se ejecuta en:

  • Cliente: Windows Vista y versiones posteriores.
  • Servidor: Windows Server 2008 y posteriores.