Dumpel.exe 工具使用的語法如下：

dumpel -f file [-s \\server] [-l log [-m source]] [-e n1 n2 n3...][-r] [-t]
[-d x]

其中：

• -f file：指定輸出文件的文件名。-f 沒有默認設(shè)置，因此必須指定文件。

• -s server：指定想為其轉(zhuǎn)儲事件日志的服務(wù)器。服務(wù)器名稱前面的前導(dǎo)反斜杠是可選的。

• -l log：指定轉(zhuǎn)儲哪個日志（系統(tǒng)日志、應(yīng)用程序日志、安全日志）。假如指定的日志名稱無效，則轉(zhuǎn)儲應(yīng)用程序日志。

• -m source：指定轉(zhuǎn)儲記錄的源（如重定向器 (rdr)、串行等）。只可提供一個源。假如不使用此參數(shù)，則轉(zhuǎn)儲所有事件。假如使用的源未在注冊表中進行注冊，則會搜索應(yīng)用程序日志查找這種類型的記錄。

• -e n1 n2 n3：用于事件 ID nn （最多可指定 10 個）的篩選器。假如未使用 -r 參數(shù)，則只會轉(zhuǎn)儲這些類型的記錄，假如使用 -r ，則會轉(zhuǎn)儲除這些類型之外的所有記錄。假如未使用此參數(shù)，則會選擇來自指定 sourcename 的所有事件。假如沒有 -m 參數(shù)，則不能使用此參數(shù)。

• -r：指定是篩選這些特定的源或記錄，還是將它們篩掉。

• -t：指定由 Tab 符號分隔的各個字符串。假如不使用 -t，則用空格分隔字符串。

• -d x：轉(zhuǎn)儲過去 x 天的事件。


注重：Dumpel 只能從系統(tǒng)日志、應(yīng)用程序日志和安全日志文件中檢索內(nèi)容。您不能使用 Dumpel 查詢文件復(fù)制服務(wù)、域名系統(tǒng) (DNS) 或者目錄服務(wù)事件日志中的內(nèi)容。

EventCombMT
EventCombMT 是一種多線程工具，該工具會同時分析來自很多服務(wù)器的事件日志，同時為搜索條件中的每個服務(wù)器產(chǎn)生一個單獨的執(zhí)行線程。EventCombMT 包括在“Microsoft Windows Server 2003 Resource Kit Tools”中，有關(guān)具體信息，請參考：

http://www.microsoft.com/windowsserver2003/techinfo/reskit/resourcekit.mspx（英文）。

此工具使您能夠：

• 定義一個或多個要搜索的事件 ID。
可以包括一個事件 ID，也可以包括用空格分隔的多個事件 ID。

• 定義要搜索的事件 ID 范圍。
包括端點。例如，假如想搜索事件 ID 528 和事件 ID 540 之間的所有事件，并包括這兩個事件 ID，則應(yīng)將范圍指定為 528 > ID < 540。此功能非常有用，因為大多數(shù)寫入事件日志的應(yīng)用程序都使用一個連續(xù)的事件范圍。

• 將搜索限制為特定的事件日志。
您可以選擇搜索系統(tǒng)日志、應(yīng)用程序日志和安全日志。假如在域控制器本地執(zhí)行，還可以選擇搜索 FRS 日志、DNS 日志和 AD 日志。

• 將搜索限制為特定的事件消息類型。
您可以選擇限制為搜索錯誤、信息性、警告、成功審核、失敗審核或者成功事件。

• 將搜索限制為特定的事件來源。
您可以選擇將搜索限制為來自特定事件來源的事件。

• 在事件說明中搜索特定的文本。
對于每個事件，可以搜索特定的文本。假如正在嘗試跟蹤特定的用戶或組，則這非常有用。

注重：您不能在特定的文本中包括搜索邏輯，如 AND、OR 或 NOT。另外，不要使用引號來分隔文本。

• 定義從當(dāng)前的日期和時間向后進行掃描的特定時間間隔。
這答應(yīng)您將搜索限制為過去幾周、幾天或者幾個月的事件。


安裝工具

要安裝工具，請將本指南包括的自解壓 SecWin2k.exe 文件中的內(nèi)容進行解壓縮。這將創(chuàng)建一個 C:\SCI\scripts\EventComb 文件夾。一旦解壓縮這些文件，可以通過雙擊 EventCombMT.exe 文件來運行 EventCombMT 工具。

運行 EventComb 工具

使用 EventComb 工具的第一步是定義哪些計算機將包括在事件日志搜索中。

• 將計算機添加到搜索中

查看更多 動易Cms教程  動易Cms模板