윈도 XP, 2003 에서 이벤트 로그 CMD 작업

윈도 7, 2008 이상에서는 wevtutil 을 이용하여 검색이 되지만 이전 버전에서는 지원되지 않음

이벤트 로그 검색 스크립트인 eventquery.vbs 를 사용한다.

아래와 같이 cscript 를 이용하여 경로를 지정해 주어야 한다.

CSCRIPT C:\WINDOWS\System32\EVENTQUERY.vbs 

EVENTQUERY.vbs [/S system [/U username [/P password]]] [/FI filter]

               [/FO format] [/R range] [/NH] [/V] [/L logname | *]

설명:

    EventQuery.vbs 스크립트는 관리자가 하나 이상의 이벤트

    로그의 이벤트 및 이벤트 속성을 나열할 수 있도록 합니다.

매개 변수 목록:

    /S     system          연결할 원격 시스템을 지정합니다.

    /U     [domain\]user   명령을 실행할 사용자 컨텍스트를

                           지정합니다.

    /P     password        제공된 사용자 컨텍스트에 대한

                           암호를 지정합니다.

    /V                     출력에 자세한 정보가 표시되도록

                           지정합니다.

    /FI    filter          쿼리에서 필터할 이벤트 유형을

                           지정합니다.

    /FO    format          출력이 표시될 형식을 지정합니다.

                           is to be displayed.

                           유효한 형식: "TABLE", "LIST", "CSV"

    /R     range           나열될 이벤트의 범위를 지정합니다.

                           유효한 값:

                               'N' - 'N'개의 최근 이벤트를 나열합니다.

                              '-N' - N'개의 마지막 이벤트를 나열합니다.

                           'N1-N2' - N1에서 N2까지의 이벤트를 나열합니다.

    /NH                    출력에 "열 헤더"가 표시되지 않도록

                           지정합니다.

                           "TABLE"및 "CSV"형식에만 유효합니다.

    /L     logname         쿼리할 로그를 지정합니다.

    /?                     이 도움말/사용법을 표시합니다.

    유효한 필터   사용 가능한 연산자  유효한 값

    -------------  ------------------  ------------

    DATETIME       eq,ne,ge,le,gt,lt   mm/dd/yy(yyyy),hh:mm:ssAM(/PM)

    TYPE           eq,ne               ERROR, INFORMATION, WARNING,

                                       SUCCESSAUDIT, FAILUREAUDIT

    ID             eq,ne,ge,le,gt,lt   정수

    USER           eq,ne               문자열

    COMPUTER       eq,ne               문자열

    SOURCE         eq,ne               문자열

    CATEGORY       eq,ne               문자열

참고: 필터 "DATETIME"을 "FromDate-ToDate"로 지정할 수 있습니다.

      이 형식에는 "eq"연산자만 사용될 수 있습니다.

예:

    EVENTQUERY.vbs 

    EVENTQUERY.vbs /L system  

    EVENTQUERY.vbs /S system /U user /P password /V /L *

    EVENTQUERY.vbs /R 10 /L Application /NH

    EVENTQUERY.vbs /R -10 /FO LIST /L Security

    EVENTQUERY.vbs /R 5-10 /L "DNS Server"

    EVENTQUERY.vbs /FI "Type eq Error"/L Application

    EVENTQUERY.vbs /L Application

            /FI "Datetime eq 06/25/00,03:15:00AM-06/25/00,03:15:00PM"

    EVENTQUERY.vbs /FI "Datetime gt 08/03/00,06:20:00PM"

            /FI "Id gt 700"/FI "Type eq warning"/L System

    EVENTQUERY.vbs /FI "Type eq error OR Id gt 1000