Úlohy služby WMI: Protokoly událostí

Úlohy rozhraní WMI pro protokoly událostí získávají data událostí ze souborů protokolu událostí a provádějí operace, jako je zálohování nebo vymazání souborů protokolu. Další příklady najdete na webu TechNet ScriptCenter na https://www.microsoft.com/technet.

Příklady skriptů uvedené v tomto tématu získávají data pouze z místního počítače. Další informace o tom, jak pomocí skriptu získat data ze vzdálených počítačů, naleznete v tématu Připojení k rozhraní WMI na vzdáleném počítači.

Následující postup popisuje, jak spustit skript.

Spuštění skriptu

1. Zkopírujte kód a uložte ho do souboru s příponou .vbs, například název_souboru.vbs. Ujistěte se, že textový editor nepřidá do souboru .txt příponu.
2. Otevřete okno příkazového řádku a přejděte do adresáře, do kterého jste soubor uložili.
3. Na příkazovém řádku zadejte cscript filename.vbs.
4. Pokud nemáte přístup k protokolu událostí, zkontrolujte, jestli používáte příkazový řádek se zvýšenými oprávněními. Některé protokoly událostí, jako je protokol událostí zabezpečení, můžou být chráněné řízením uživatelských přístupů (UAC).

Poznámka

Ve výchozím nastavení cscript zobrazí výstup skriptu v okně příkazového řádku. Vzhledem k tomu, že skripty rozhraní WMI můžou vytvářet velké objemy výstupu, můžete chtít výstup přesměrovat na soubor. Na příkazovém řádku zadejte cscript filename.vbs > outfile.txt a přesměrujte výstup skriptu název_souboru.vbs do outfile.txt.

Následující tabulka uvádí příklady skriptů, které lze použít k získání různých typů dat z místního počítače.

Jak můžu...	Třídy nebo metody služby WMI
... načítá informace o protokolu událostí zabezpečení?	Při připojování ke třídě Win32_NTEventlogFile zahrňte oprávnění zabezpečení zabezpečení. Další informace najdete v tématu Provádění privilegovaných operací pomocíjazyka VBScript . VB strComputer = "." Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate,(Security)}!\\" & _ strComputer & "\root\cimv2") Set colLogFiles = objWMIService.ExecQuery _ ("Select * from Win32_NTEventLogFile " _ & "Where LogFileName='Security'") For Each objLogFile in colLogFiles Wscript.Echo objLogFile.NumberOfRecords Wscript.Echo "Maximum Size: " _ & objLogfile.MaxFileSize Next PowerShell $strComputer = "." $colLogFiles = Get-WmiObject -Class Win32_NTEventLogFile -ComputerName $strComputer | Where-Object {$_.LogFileName -eq 'security'} foreach ($objLogFile in $colLogFiles) { "Record Number: " + $objLogFile.NumberOfRecords "Maximum Size: " + $objLogFile.MaxFileSize }
... zálohujte protokol událostí?	Použijte třídu Win32_NTEventlogFile a metodu BackupEventLog. Při připojování k rozhraní WMI možná budete muset zahrnout oprávnění zálohování. Další informace najdete v tématu Provádění privilegovaných operací pomocíjazyka VBScript . VB strComputer = "." Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate,(Backup)}!\\" & strComputer & "\root\cimv2") Set colLogFiles = objWMIService.ExecQuery ("Select * from Win32_NTEventLogFile " & "Where LogFileName='Application'") For Each objLogfile in colLogFiles errBackupLog = objLogFile.BackupEventLog("c:\scripts\application.evt") WScript.Echo "File saved as c:\scripts\applications.evt" Next PowerShell $strComputer = "." $colLogFiles = Get-WmiObject -Class Win32_NTEventLogFile -ComputerName $strComputer | Where-Object {$_. LogFileName -eq 'Application'} foreach ($objLogFile in $colLogFiles) { [void]$objLogFile.BackupEventlog("c:\scripts\applications.evt") "File saved as c:\scripts\applications.evt" }
... zálohovat protokol událostí více než jednou?	Před použitím Win32_NTEventlogFile a metody BackupEvent Log se ujistěte, že má záložní soubor jedinečný název. Operační systém neumožňuje přepsat existující záložní soubor; Před opětovným spuštěním skriptu musíte buď přesunout záložní soubor, nebo ho přejmenovat. Při připojování k rozhraní WMI možná budete muset zahrnout oprávnění zálohování. Další informace najdete v tématu Provádění privilegovaných operací pomocíjazyka VBScript . VB dtmThisDay = Day(Date) dtmThisMonth = Month(Date) dtmThisYear = Year(Date) strBackupName = dtmThisYear & "_" & dtmThisMonth & "_" & dtmThisDay strComputer = "." Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate,(Backup)}!\\" & strComputer & "\root\cimv2") Set colLogFiles = objWMIService.ExecQuery ("Select * from Win32_NTEventLogFile " & "Where LogFileName='Application'") For Each objLogfile in colLogFiles objLogFile.BackupEventLog("c:\scripts\" & strBackupName & "_application.evt") objLogFile.ClearEventLog() WScript.Echo "File saved: " & strBackupName & "_application.evt" Next PowerShell $CurDate = Get-Date $strBackupName = $curDate.Year.ToString() + "_" + $curDate.Month.ToString() + "_" + $CurDate.Day.ToString() $strComputer = "." $colLogFiles = Get-WmiObject -Class Win32_NTEventLogFile -ComputerName $strComputer | Where-Object {$_.LogFileName -eq 'Application'} foreach ($objLogFile in $colLogFiles) { $BackupFile = $objLogFile.BackupEventlog("c:\scripts" + $strBackupName + "_application.evt") "File saved: c:\scripts" + $strBackupName + "_application.evt" }
... určuje počet záznamů v protokolu událostí?	Použijte třídu Win32_NTEventlogFile a zkontrolujte hodnotu vlastnosti NumberOfRecords. VB strComputer = "." Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2") Set colLogFiles = objWMIService.ExecQuery ("Select * from Win32_NTEventLogFile " & "Where LogFileName='System'") For Each objLogFile in colLogFiles Wscript.Echo objLogFile.NumberOfRecords Next PowerShell $strComputer = "." $colLogFiles = Get-WmiObject -Class Win32_NTEventLogFile -ComputerName $strComputer | Where-Object {$_. LogFileName -eq 'System'} foreach ($objLogFile in $colLogFiles) { $objLogFile.NumberOfRecords }
... vymazat protokoly událostí?	Použijte třídu Win32_NTEventlogFile a metodu ClearEventLog. VB strComputer = "." Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate,(Backup, Security)}!\\" & strComputer & "\root\cimv2") Set colLogFiles = objWMIService.ExecQuery ("Select * from Win32_NTEventLogFile " & "Where LogFileName='Application'") For Each objLogfile in colLogFiles objLogFile.ClearEventLog() WScript.Echo "Cleared application event log file" Next PowerShell $strComputer = "." $colLogFiles = Get-WmiObject -Class Win32_NTEventLogFile -ComputerName $strComputer | Where-Object {$_. LogFileName -eq 'System'} foreach ($objLogFile in $colLogFiles) { [void]$objLogFile.ClearEventlog() "Cleared application event log file" }
... číst události z protokolů událostí?	Použijte třídu Win32_NTLogEvent. VB strComputer = "." Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate}!\\" _ & strComputer & "\root\cimv2") Set colLoggedEvents = objWMIService.ExecQuery _ ("Select * from Win32_NTLogEvent " _ & "Where Logfile = 'System'") For Each objEvent in colLoggedEvents Wscript.Echo "Category: " & objEvent.Category & VBNewLine _ & "Computer Name: " & objEvent.ComputerName & VBNewLine _ & "Event Code: " & objEvent.EventCode & VBNewLine _ & "Message: " & objEvent.Message & VBNewLine _ & "Record Number: " & objEvent.RecordNumber & VBNewLine _ & "Source Name: " & objEvent.SourceName & VBNewLine _ & "Time Written: " & objEvent.TimeWritten & VBNewLine _ & "Event Type: " & objEvent.Type & VBNewLine _ & "User: " & objEvent.User Next PowerShell $strComputer = "." $colLogFiles = Get-WmiObject -Class Win32_NTLogEvent -ComputerName $strComputer | Where-Object {$_. LogFile -eq 'System'} foreach ($objEvent in $colLoggedEvents) { "Category: " + $objEvent.Category "Computer Name: " + $objEvent.ComputerName "Event Code: " + $objEvent.EventCode "Message: " + $objEvent.Message "Record Number: " + $objEvent.RecordNumber "Source Name: " + $objEvent.SourceName "Time Written: " + $objEvent.TimeWritten "Event Type: " + $objEvent.Type "User: " + $objEvent.Use }

Související témata

úlohy rozhraní WMI pro skripty a aplikace

příklady aplikací jazyka WMI C++

TechNet ScriptCenter