Sử dụng WEVTUTIL để quản lý các bản ghi sự kiện
Ngu
ồn : quantrimang.com 
Derek Melber
Chờ đợi và cuối cùng những gì mà Microsoft đã tốn nhiều thời gian và
công sức nhằm cung cấp cho chúng ta một Event Viewer hữu dụng cũng
đã được ra mắt. Windows Vista và Windows Server 2008 ra mắt với Event
Viewer mới được sửa lại cũng như một số công cụ bổ sung, thực sự làm
cho bạn dễ dàng hơn trong sử dụng Event Viewer, giúp cho việc quản lý
thực sự dễ dàng. Thêm vào với tùy ch
ọn đăng ký mới mà Event Viewer hiện
đang có còn có một tiện ích dòng lệnh mới, đó chính là WEVTUTIL, tiện ích này
cho phép bạn có thể kiểm soát gần như mọi khía cạnh các bản ghi của Event
Viewer.

Lệnh và cú pháp WEVTUTIL

Do lệnh WEVTUTIL có thể kiểm soát gần như mọi khía cạnh của Event Viewer
và các bản ghi nên chúng có một số lượng khổng lồ các tham số cũng như khóa
chuyển đổi để kiểm soát các vấn đề chi tiết.

Cấu trúc cú pháp c
ủa WEVTUTIL được cho dưới đây:
wevtutil [{el | enum-logs}] [{gl | get-log} [/f: ]]

[{sl | set-log} [/e:] [/i:] [/lfn:] [/rt:] [/ab:] [/ms:]
[/l:] [/k:] [/ca:] [/c:]]

[{ep | enum-publishers}]

[{gp | get-publisher} [/ge: ] [/gm:] [/f: ]] [{im |

hiển thị trạng thái của bản ghi. Trạng thái
và thông tin sẽ bao gồm nội dung bản ghi
được kích hoạt hay vô hiệu hóa, các hạn
chế về kích thước của bản ghi cũng như
đường dẫn đến nơi bản ghi được lưu.
{sl | set-log} [/e:]
[/i:] [/lfn:] [/rt:]
[/ab:] [/ms:] [/l:]
[/k:] [/ca:] [/c:]
Cho phép thay đổi các cấu hình chi tiết
của bản ghi mà bạn chỉ định.
{ep | enum-
publishers}
Hiển thị các bộ phát hành sự kiện (event)
trên máy tính nội bộ. Những bộ phát hành
sự kiện là các thành phần có thể tạo sự
kiện và sau đó phân phối chúng đến
Event Viewer.
{gp | get-
publisher} [/ge: ]
[/gm:] [/f: ]]
Cho phép bạn chỉ định bộ phát hành sự
kiện, sau đó sẽ hiển thị các thông tin cấu
hình của bộ phát hành sự kiện đó.
{qe | query-
events} [/lf:] [/sq:]
[/q:] [/bm:] [/sbm:]
Lệnh này cho phép thu được các sự kiện
đối với một bản ghi nào đó. Bản ghi có
thể là từ event viewer, log file, hoặc sử

dụng truy vấn, bạn phải sử dụng tham số
/sq cùng với đường dẫn để truy vấn. là
đường dẫn đến file mà bạn muốn các sự
kiện export được lưu ở đó.
{al | archive-log}
[/l:]
Cho phép lưu bản ghi mà bạn chỉ định. Vị
trí lưu trữ sẽ là một thư mục con với tất
cả các thông tin đã được lưu trong thư
mục con này.
{cl | clear-log}
[/bu:]
Cho phép xóa các sự kiện của bản ghi
mà bạn chỉ định. Nếu bạn muốn thực hiện
một backup của các sự kiện đã xóa thì có
thể sử dụng tùy chọn /bu.
Bảng 1
Các ví dụ sử dụng WEVTUTIL hữu ích

Với quá nhiều bản ghi mới và các bộ phát hành mới có trong Windows Vista và
Windows Server 2008, sẽ thật là một ý tưởng hay nếu bạn không cần phải nhớ
tất cả chúng. Rõ ràng bạn luôn có thể theo dõi Event Viewer để xem tất cả các
liệt kê. Vấn đề với tùy chọn này là bạn không phải lúc nào cũng biết cú pháp của
bản ghi hoặc bộ phát hành mà bạn muốn tập trung. Thay vì đó bạn có thể sử
dụng một trong các lệnh dưới đây để
có được danh sách về tất cả các bản ghi
và bộ phát hành.

Ví dụ 1: Hình 1 thể hiện cách liệt kê tất cả các bản ghi sự kiện từ một máy tính
nội bộ.