명령창에서 이벤트 로그 기록(eventcreate) 및 검색(eventquery)

1. 이벤트 로그 기록 : evnetcreate.exe

EVENTCREATE [/S system [/U username [/P [password]]]] /ID eventid
            [/L logname] [/SO srcname] /T type /D description

설명:
    이 명령줄 도구는 관리자가 지정된 이벤트 로그에 사용자
    지정 이벤트 ID 및 메시지를 만들 수 있도록 합니다.

매개 변수 목록:
    /S    system           연결할 원격 시스템을 지정합니다.

    /U    [domain\]user    명령을 실행할 사용자 컨텍스트를 지정합니다.

    /P    [password]       제공된 사용자 컨텍스트에 대한
                           암호를 지정합니다. 생략된 경우 입력하도록 묻습니다.

    /L    logname          만들 이벤트를 기록할 이벤트 로그를 지정합니다.

    /T    type             만들 이벤트의 유형을 지정합니다.(필수 요소)
                           유효한 유형: ERROR, WARNING, INFORMATION.

    /SO   source           이벤트에 사용할 원본을 지정합니다.
                           유효한 원본은 아무 문자열이며 이벤트를 생성하는 응용 프로그램이나 구성 요소를 나타냅니다.

    /ID   id               이벤트에 대한 이벤트 ID를 지정합니다.(필수 요소)
                           올바른 사용자 지정 메시지 ID의 범위는 1 - 1000입니다.

    /D    description      새로 만드는 이벤트에 대해 설정할  설명을 지정합니다.(필수 요소)

    /?                     이 도움말/사용법을 표시합니다.

예:
    EVENTCREATE /T ERROR /ID 100
        /L APPLICATION /D "응용 프로그램 로그에 이벤트 만들기"

    EVENTCREATE /T ERROR /ID 999 /L APPLICATION
        /SO WinWord /D "응용 프로그램 로그에 새 원본 "

    EVENTCREATE /S system /T ERROR /ID 100
        /L APPLICATION /D "사용자 자격 증명이 없는 원격 시스템"

    EVENTCREATE /S system /U user /P password /ID 100 /T ERROR
        /L APPLICATION /D "사용자 자격 증명을 가진 원격 컴퓨터"

    EVENTCREATE /S system /U domain\user /ID 100 /T WARNING
        /SO MyBatchFile.cmd /D "관리 스크립트 사용자 로그온 실패"

2. 이벤트 로그 검색 : eventquery.vbs

EVENTQUERY.vbs [/S system [/U username [/P password]]] [/FI filter]
               [/FO format] [/R range] [/NH] [/V] [/L logname | *]
설명:
    EventQuery.vbs 스크립트는 관리자가 하나 이상의 이벤트
    로그의 이벤트 및 이벤트 속성을 나열할 수 있도록 합니다.
매개 변수 목록:
    /S     system          연결할 원격 시스템을 지정합니다.
    /U     [domain\]user   명령을 실행할 사용자 컨텍스트를
                           지정합니다.
    /P     password        제공된 사용자 컨텍스트에 대한
                           암호를 지정합니다.
    /V                     출력에 자세한 정보가 표시되도록
                           지정합니다.
    /FI    filter          쿼리에서 필터할 이벤트 유형을
                           지정합니다.
    /FO    format          출력이 표시될 형식을 지정합니다.
                           is to be displayed.
                           유효한 형식: "TABLE", "LIST", "CSV"
    /R     range           나열될 이벤트의 범위를 지정합니다.
                           유효한 값:
                               'N' - 'N'개의 최근 이벤트를 나열합니다.
                              '-N' - N'개의 마지막 이벤트를 나열합니다.
                           'N1-N2' - N1에서 N2까지의 이벤트를 나열합니다.
    /NH                    출력에 "열 헤더"가 표시되지 않도록
                           지정합니다.
                           "TABLE"및 "CSV"형식에만 유효합니다.
    /L     logname         쿼리할 로그를 지정합니다.
    /?                     이 도움말/사용법을 표시합니다.
    유효한 필터   사용 가능한 연산자  유효한 값
    -------------  ------------------  ------------
    DATETIME       eq,ne,ge,le,gt,lt   mm/dd/yy(yyyy),hh:mm:ssAM(/PM)
    TYPE           eq,ne               ERROR, INFORMATION, WARNING,
                                       SUCCESSAUDIT, FAILUREAUDIT
    ID             eq,ne,ge,le,gt,lt   정수
    USER           eq,ne               문자열
    COMPUTER       eq,ne               문자열
    SOURCE         eq,ne               문자열
    CATEGORY       eq,ne               문자열
참고: 필터 "DATETIME"을 "FromDate-ToDate"로 지정할 수 있습니다.
      이 형식에는 "eq"연산자만 사용될 수 있습니다.
예:
    EVENTQUERY.vbs
    EVENTQUERY.vbs /L system 
    EVENTQUERY.vbs /S system /U user /P password /V /L *
    EVENTQUERY.vbs /R 10 /L Application /NH
    EVENTQUERY.vbs /R -10 /FO LIST /L Security
    EVENTQUERY.vbs /R 5-10 /L "DNS Server"
    EVENTQUERY.vbs /FI "Type eq Error"/L Application
    EVENTQUERY.vbs /L Application
            /FI "Datetime eq 06/25/00,03:15:00AM-06/25/00,03:15:00PM"
    EVENTQUERY.vbs /FI "Datetime gt 08/03/00,06:20:00PM"
            /FI "Id gt 700"/FI "Type eq warning"/L System
    EVENTQUERY.vbs /FI "Type eq error OR Id gt 1000 "