Ereignisse protokollieren
Active Directory effizient überwachen und Probleme erkennen
Mit PsLoglist aus den Sysinternals arbeiten
Mit PsLoglist aus der PsTools-Sammlung der Sysinternals können Sie über die Befehlszeile die Ereignisanzeigen verschiedener Computer einsammeln, anzeigen und vergleichen. Das Programm bietet darüber hinaus zahlreiche Optionen, die beim Abfragen der Ereignisanzeigen viele verschiedene Vergleichsmöglichkeiten erlauben:
psloglist [\\<Computer>[,<Computer>[,...] | @<Datei> [-u <Benutzername>[-p <Kennwort>]]] [-s [-t delimiter]] [-m #|-n #|-h #|-d #|-w][-c][-x][-r][-a mm/dd/yy][-b mm/dd/yy][-f filter] [-i ID[,ID[,...] | -e ID[,ID[,...]]] [-o event source[,event source][,..]]] [-q event source[,event source][,..]]] [-l event log file] <eventlog>
Geben Sie zum Beispiel den Befehl
psloglist system
ein, listet das Tool in der Befehlszeile alle Ereignisse des Systemereignisprotokolls auf. Der Befehl
psloglist application
zeigt das Anwendungsprotokoll an. Wollen Sie nur die aktuellsten fünf Einträge sehen, verwenden Sie den Befehl
psloglist system -n 5
Die fünf ältesten Einträge zeigen Sie mit
psloglist system -r -n 5
an. Um effizient Daten anzuzeigen, sollten Sie die Anzeige filtern, da ansonsten zu viele Informationen auf dem Bildschirm erscheinen. Dazu verwenden Sie die Option -f. Wollen Sie zum Beispiel nur Fehlermeldungen erfassen, geben Sie den Befehl
psloglist system -f e
ein. Fehler und Warnungen erhalten Sie mit der Option -f ew angezeigt. Um nur Meldungen einer bestimmten ID anzuzeigen, verwenden Sie -i, gefolgt von einer kommagetrennten Liste der IDs, die Sie anzeigen wollen.
Eine ausführliche Liste mit den Optionen für PsLoglist finden Sie hier.