Event Log Query Tool

Event Log Query Tool, un outil automatisé
pour examiner les journaux
d’événements, est disponible dans le
Microsoft Windows 2000 Server
Resource Kit Supplement One.
Elogdmp.exe est un peu limité, mais
avec un peu de travail de votre part, il
peut s’avérer très utile. L’outil envoie à 
l’écran un résumé du journal d’événements.
Après quoi, vous pouvez rechercher
certains mots-clés dans la sortie
ou envoyer celle-ci dans un fichier
batch pour traitement ultérieur.

La syntaxe d’Elogdmp est la suivante

elogdmp <computername> <logname>

Computername est le nom de l’ordinateur
dont vous voulez transférer le
journal – Elogdmp prend les noms, les
adresses IP et certains noms DNS (mais
pas tous) de NetBIOS (les barres
obliques inverses précédentes ne sont
pas nécessaires). Logname est le nom
du journal que vous voulez visualiser
(Security, Application, Directory
Service, par exemple). La case (majuscules/
minuscules) ne semble pas importante,
mais si le nom du journal
contient un espace, placez le nom
entre guillemets.

Ainsi, par exemple, pour transférer
le journal System sur une machine
nommée \\mypc, vous taperiez

elogdmp mypc system

Si \\mypc est un serveur DNS, vous
pouvez taper

elogdmp mypc « dns server » pour visualiser le journal DNS

Server. La sortie est un transfert délimité

par des virgules du contenu du

journal : la date, heure, source, type,

catégorie, ID d’événement, utilisateur

et information machine. La plupart de

ces champs sont autoexplicatifs, mais

les champs source, type et catégorie

méritent quelques explications.

Le champ source identifie le programme

(w32time, DNS, par exemple)

que l’entrée du journal a créé et le

champ type contient le niveau de gravité

(c’est-à -dire, INFO, WARN ou ERROR).

Dans un fichier journal (log file)

que vous visualisez avec le snap-in

Computer Management, le champ catégorie

fournit des informations plus

précises que le champ source – par

exemple, un message associé à  AD

(Active Directory) annonçant que l’OS

a commencé à  défragmenter AD, pourrait

afficher NTDS ISAM comme la

source et Online Defragmentation,

plus utile, comme la catégorie.

Malheureusement, le champ catégorie

d’Elogdmp est de peu d’utilité : il ne

contient que le mot None ou

Something.

Bien qu’Elogdmp n’affiche pas le message réel qui a déclenché l’entrée

du journal, l’outil peut encore être

utile à  partir de la ligne de commande

ou dans un fichier batch. Par exemple,
elogdmp mypc system | find « ERROR »


montrera toutes les entrées du

journal d’événements System de type

ERROR (la commande Find distingue

les majuscules des minuscules et donc

ERROR doit être en lettres capitales).

Les entrées apparaissent de la plus ancienne

à  la plus récente, ce qui permet

de voir les erreurs du jour, même

quand le gros de la sortie défile hors de

l’écran.

Elogdmp est plutôt laconique dans

son reporting d’erreurs. S’il ne peut

pas satisfaire votre requête (par

exemple si vous interrogez un journal

d’événements sur une machine pour

laquelle vous n’avez pas d’autorisation,

vous obtiendrez une erreur qui ne

vous sera d’aucun secours, comme

elogdmp: cannot open the 'system' event log (5)
Pour déterminer la raison de l'erreur,
il vous faut savoir que le chiffre
entre parenthèses est le numéro de
l'erreur. L'erreur 5 est une erreur d'accès
refusé. Pour savoir ce qu'une erreur
signifie, vous pouvez utiliser la
commande Net Helpmsg. Par exemple,
en tapant 
net helpmsg 5
à  une invite de commande, vous

obtenez la réponse access is denied (l'accès

est refusé).