Ereignisse protokollieren

Active Directory effizient überwachen und Probleme erkennen

Mit PsLoglist aus den Sysinternals arbeiten

Mit PsLoglist aus der PsTools-Sammlung der Sysinternals können Sie über die Befehlszeile die Ereignisanzeigen verschiedener Computer einsammeln, anzeigen und vergleichen. Das Programm bietet darüber hinaus zahlreiche Optionen, die beim Abfragen der Ereignisanzeigen viele verschiedene Vergleichsmöglichkeiten erlauben:

psloglist [\\<Computer>[,<Computer>[,...] | @<Datei> [-u <Benutzername>[-p <Kennwort>]]] [-s [-t delimiter]] [-m #|-n #|-h #|-d #|-w][-c][-x][-r][-a mm/dd/yy][-b mm/dd/yy][-f filter] [-i ID[,ID[,...] | -e ID[,ID[,...]]] [-o event source[,event source][,..]]] [-q event source[,event source][,..]]] [-l event log file] <eventlog>

Geben Sie zum Beispiel den Befehl

psloglist system

ein, listet das Tool in der Befehlszeile alle Ereignisse des Systemereignisprotokolls auf. Der Befehl

psloglist application

zeigt das Anwendungsprotokoll an. Wollen Sie nur die aktuellsten fünf Einträge sehen, verwenden Sie den Befehl

psloglist system -n 5

Die fünf ältesten Einträge zeigen Sie mit

psloglist system -r -n 5

an. Um effizient Daten anzuzeigen, sollten Sie die Anzeige filtern, da ansonsten zu viele Informationen auf dem Bildschirm erscheinen. Dazu verwenden Sie die Option -f. Wollen Sie zum Beispiel nur Fehlermeldungen erfassen, geben Sie den Befehl

psloglist system -f e

ein. Fehler und Warnungen erhalten Sie mit der Option -f ew angezeigt. Um nur Meldungen einer bestimmten ID anzuzeigen, verwenden Sie -i, gefolgt von einer kommagetrennten Liste der IDs, die Sie anzeigen wollen.

Eine ausführliche Liste mit den Optionen für PsLoglist finden Sie hier.