Опции Среды выполнения

PsExec предлагает несколько параметров командной строки управлять средой выполнения целевого процесса. Эти опции включают возможность выполнить процесс в Системной учетной записи или в уменьшенном - привилегированный режим, работать ли в интерактивном режиме и в котором интерактивный сеанс, ли можно загрузить профиль учетной записи на целевой системе, и возможность установить начальный рабочий каталог целевого процесса.

 

-s опция запускает целевое приложение в Системной учетной записи. Если Вы также не определите-i "интерактивную" опцию (обсужденный коротко), то процесс будет работать в той же самой неинтерактивной среде, в которой другие службы Windows, работающие как Система, выполняются (Сеанс 0, станция окна $ Service-0x0-3e7) ², с консольным выводом, перенаправленным к консоли, в которой работает PsExec. Рассмотрите "Перенаправленный Консольный Вывод", разделяют ранее в этой главе для проблем, чтобы знать. Одно преимущество этого режима выполнения - то, что процесс будет продолжать работать даже за интерактивным пользовательским выходом из системы. Глава Монитора Процесса включает пример использования PsExec таким образом, чтобы следить за развитием событий во время пользовательского выхода из системы и системного завершения работы.

Если целевая система - локальный компьютер, PsExec должен уже работать с полными ­административными полномочиями, чтобы использовать-s опцию. Для удаленного выполнения PsExec уже требует административной учетной записи в удаленной системе.

-i [сеанс] опция используется, чтобы выполнить целевой процесс в интерактивном режиме на целевой системе — более определенно на интерактивном рабочем столе по умолчанию терминального сеанса служб. Без переключателя-i процессы на удаленных компьютерах будут работать в неинтерактивной станции окна в пределах сеанса 0. Дополнительный параметр сеанса определяет Идентификационный номер терминального сеанса служб, в котором Вы хотите, чтобы процесс работал. Если Вы используете-i, но опускаете параметр сеанса, PsExec выполняет процесс в текущем настольном сеансе когда работающийся локальный компьютер, или в текущем консольном сеансе когда работающийся удаленный компьютер. Консольный сеанс - сеанс, в настоящий момент связанный с клавиатурой и дисплеем, присоединенным к компьютеру (в противоположность сеансу удаленного рабочего стола). Вспомните, что явные учетные данные обязаны выполнять интерактивный процесс на удаленном компьютере.

Следующая командная строка выполняет Regedit как Систему и в текущем интерактивном сеансе так, чтобы можно было просмотреть те части реестра, которые предоставляют доступ только к Системе (такой как HKLM\SAM и HKLM\Security):

psexec-s-i Regedit.exe.

И эта командная строка запускает оболочку команды, работающую как Система на текущем рабочем столе:

psexec-s-i Cmd.exe.

-x опция выполняет целевой процесс на безопасном рабочем столе Winlogon. Рабочим столом Winlogon управляет Системная учетная запись, и только обрабатывает выполнение, поскольку Система может получить доступ к этому. Обычно, это означает, что-x должен использоваться в соединении с-s, и что PsExec должен уже работать с административными полномочиями. Кроме того,-x опция может использоваться только на локальном компьютере.

Столбец Enable the Session подсказки в Проводнике Процесса (который обсуждается в Главе 3, "Проводник Процесса") видеть ID сеанса, связанный с процессами.

См. "Сеансы, Станции Окна, Рабочие столы, и сообщения Окна" в Главе 2, "Windows Core Concepts," для получения дополнительной информации.

 

По умолчанию-x выполняет целевой процесс на рабочем столе Winlogon консольного сеанса. Используйте-i опцию наряду с-x, чтобы выполнить целевой процесс на рабочем столе Winlogon различного сеанса удаленного рабочего стола. Следующая командная строка выполняет командную строку на безопасном рабочем столе консольного сеанса:

psexec-x-s Cmd.exe.

Если Вы зарегистрированы в консоли, нажмите Ctrl+Alt+Del, чтобы переключиться на рабочий стол Winlogon. Если версия Windows, Вы выполняете дисплеи полноэкранное изображение на безопасном рабочем столе, нажмите Alt+Tab, чтобы переключиться на командную строку.

-w опция каталога устанавливает начальный каталог для целевого процесса. Отметьте, что путь к каталогу, который Вы определяете, относительно целевого компьютера. Например, Файлы C:\Program обращается к папке Файлов C:\Program на удаленном компьютере, не на локальном компьютере.

Отметьте также, что сетевые отображения имени диска не будут обычно распознаваться.

Когда Вы используете-e опцию, профиль учетной записи пользователя не загружается. Эта функция может сэкономить немного времени выполнения для недолгих процессов, где профиль учетной записи пользователя не необходим. Однако, это не должно использоваться, если какие-либо операции могли бы зависеть от настроек профиля пользователя. HKCU, замеченный процессом, обращается к улью учетной записи Системы HKCU, если другой сеанс входа в систему уже не загрузил профиль пользователя в то время, когда удаленный процесс был запущен. В этом случае HKCU процесса обращается к нормальному улью пользователя HKCU. %USERPROFILE переменная окружения % ссылается на Системный каталог профиля учетной записи независимо от того, был ли профиль пользователя загружен. Поскольку Системный профиль учетной записи всегда загружается, PsExec не позволяет использование-e и-s опций одновременно.

На Windows Vista и более новый, вход в систему "интерактивного" типа (такого как то, что вызывается, когда Вы обеспечиваете явные учетные данные) подвергается маркерной фильтрации — административные группы отключаются, и административные полномочия удаляются. Когда обеспечение явных учетных данных, добавление-h опции запускают целевой процесс в удаленной системе с полным административным маркером учетной записи пользователя. Если целевая система - локальный компьютер,-h может гарантировать, что целевой процесс работает с поднятым маркером, только если PsExec уже работает поднятый.

-l (нижний регистр L) опция выполняет целевой процесс с ограниченными правами. Если группа Администраторов присутствует в маркере пользователя, она отключается; также, все полномочия удаляются кроме тех, которых предоставляют Группе пользователей на целевом компьютере. На Windows Vista и более новый, процесс работает в Низкой целостности, которая препятствует тому, чтобы это писало в большинство областей файловой системы и реестра. Следующая командная строка позволяет администратору Windows XP выполнять Internet Explorer с уменьшенными правами:

psexec-l-d "%ProgramFi1es %\Internet Explorer\iexplore.exe".

 

Отметьте, что У получающегося процесса "ограниченных прав" не обязательно будут те же самые характеристики как другие "низкие права" процессы замеченный на компьютерах Windows, таких как Internet Explorer Защищенного режима. PsExec не отключает мощные группы кроме Администраторов, которых UAC обычно отключает (такие как Продвинутые пользователи и определенные доменные группы). Кроме того, если выполняющийся от поднятого процесса, новый маркер процесса все еще происходит из "поднятого" сеанса входа в систему пользователя, даже при том, что это отмечается Низкая целостность. Оболочка команды с этим маркером все еще скажет "Администратора" в своей строке заголовка, и дочерние процессы, которые требуют, повышение не будет в состоянии запросить или повышение усиления.

PsFile.

Команда Windows "NET FILE" показывает Вам список файлов, что процессы на других компьютерах открылись на системе, на которой Вы выполняете команду. Однако, это усекает более длительные пути и не позволяет Вам видеть ту информацию для удаленных систем. PsFile показывает список файлов или названных каналов на системе, которые открываются удаленно через службу Сервера, и это также позволяет Вам закрывать удаленно открытые файлы или по имени или Идентификационным номером.

Поведение по умолчанию PsFile должно перечислить файлы на локальной системе, которые в настоящий момент открыты от удаленных систем. Чтобы видеть файлы, открытые в удаленной системе, назовите удаленный компьютер (обеспечение альтернативных учетных данных если нужно), использование синтаксиса, описанного в "Типичных функциях", разделяет ранее в этой главе. Вывод выглядит подобным следующему примеру:

 

Число в скобках - обеспеченный системой идентификатор, сопровождаемый путем, который открывается и учетная запись пользователя, связанная с удаленным соединением. Перечисляя открытые файлы на удаленном компьютере, Вы будете всегда видеть srvsvc, названный открытым каналом; это из-за соединения, установленного PsFile к службе Сервера.

Можно фильтровать вывод, добавляя Идентификационный номер ресурса или соответствующий префикс пути к командной строке. Это показывает только информацию, связанную с ресурсом, который был присвоенным Идентификационным номером 340 на компьютере по имени Win7_vm:

psfile \\Win7_vm 340.

 

Это показывает информацию, связанную только с открытыми файлами под папкой C:\Users — то есть, все ресурсы с путями, начинающимися с C:\Users:

psfile \\Win7_vm C:\Users.

Чтобы закрыть открытые файлы, добавьте -c к командной строке после определения ID или соедините префикс каналом. Эта команда закрывается, все удаленно открыли файлы под C:\Users на локальном компьютере:

psfile C:\Users–c.

Следует закрыть использование файлов PsFile с осторожностью, потому что данные, кэшируемые на клиентской системе, не становятся записанными файлу прежде, чем это будет закрыто.

PsGetSid

В Windows Идентификаторы безопасности (SID) однозначно определяют пользователей, группы, компьютеры, и другие объекты. SID - то, что сохранено в маркерах доступа и в дескрипторах безопасности, и они - то, что используется в проверках доступа. Имена, которые связываются с SID, только для пользователя - интерфейсные цели, и из-за локализации они могут измениться от системы до системы. Например, у всех английских систем US есть группа Администраторов с SID S-1-5-32-544, но на немецких системах ту же самую группу вызывают Administratoren на итальянских системах, это - Администраторы Gruppo, и на финских системах, Jarjestelmanvalvojat.

У каждого компьютера Windows есть локальный SID, также известный как машинный SID, который создается во время установки. У каждой локальной группы и учетной записи пользователя на компьютере есть SID, основанный на машинном SID с относительным ID (RID), добавленный к этому. Аналогично, у каждого Активного домена Каталога есть SID, и у объектов в пределах домена (включая доменные группы, учетные записи пользователя, и задействованные компьютеры) есть SID, основанные на том SID с добавленным RID. В дополнение к этим специфичным для машины и проблемно-ориентированным SID Windows определяет ряд известных SID во ВЛАСТЯХ NT и ВСТРОЕННЫХ доменах.

PsGetSid облегчает преобразовывать SID в их соответствующие имена, преобразовывать имена к SID, и получать SID для компьютера или домена. Как со всем PsTools, PsGetSid может выполнить преобразования в удаленных системах и сообщить о результатах локально.

Чтобы преобразовать имя или SID к его дубликату, выполните PsGetSid с именем или SID на командной строке. Без параметров PsGetSid выводит на экран машинный SID локального компьютера. Например:

 

 

Использование полностью определенных имен учетной записи (DOMAIN\USERNAME) предотвращает неоднозначность и улучшает производительность. Если только имя учетной записи обеспечивается, PsGetSid проверяет известные SID сначала, то встроенный и административно определил локальные учетные записи. Если имя все еще не было разрешено, PsGetSid проверяет основной домен, и наконец доверял доменам.

Никакое преобразование не возможно для SID Входа в систему. SID входа в систему - в произвольном порядке сгенерированные идентификаторы, связанные с нестойкими объектами, и имеют формат S-1-5-5-X-V.

Следующая строка сценария PowerShell перечисляет имена, связанные с известными SID в диапазоне от S-1-5-32-544 до S-1-5-32-576, перенаправляя любой вывод ошибок к nul. Вывод от той команды показывают в рисунке 6-1.

Рис. 6-1. PsGetSid, перечисляющий диапазон ВСТРОЕННЫХ имен.

И следующие две строки сценария PowerShell получают имена первых 10 локальных групп и пользователей, определенных на компьютере. Первая команда извлекает машинный SID из вывода PsGetSid, и второй добавляет 1000 - 1009 к тому SID и передает каждого из тех к PsGetSid:

 

PsInfo

PsInfo собирает ключевую информацию о системах, включая тип установки, номера сборки ядра, системное время работы, зарегистрированный владелец и организация, число процессоров и их типа, объема памяти, и версии Internet Explorer. Параметры командной строки, которым также позволяют Вы просмотреть дисковую информацию об объеме, установленные заплаты, и приложения. Например:

Информация о системе для \\WIN7-X86-VM:

Время работы.

Версия ядра.

Тип продукта.

Версия продукта.

Пакет обновления.

Номер сборки ядра: Зарегистрированная организация: Зарегистрированный владелец.

Версия IE.:

Системный корень.

Процессоры.

Скорость процессора: тип Процессора.

Физическая память.

Видеодрайвер.

 Число Времени работы представляет накопленное количество времени, которое компьютер выполнял начиная с последней начальной загрузки. Время, проведенное во сне или, в спящем режиме, режим не рассчитывает к этому числу, таким образом, Время работы не обязательно указывает, сколько фактического времени протекло начиная с последнего системного запуска.

Отметьте С этой записи, физическая память не становится сообщаемой для 64-разрядных версий Windows.

Чтобы сообщить только о выбранных строках этой информации, обеспечьте полное или частичное имя поля или интересующих областей на командной строке. Например, если Вы выполните регистр psinfo, то только о Зарегистрированных полях Organization и Registered Owner сообщат.

По умолчанию PsInfo получает информацию о локальном компьютере, но при использовании синтаксиса, описанного в разделе "Типичных функций" этой главы, это может сообщить информацию для одного или более удаленных компьютеров. PsInfo не требует административных прав локально, но он действительно нуждается в административных правах в удаленных системах.

 

В предыдущем примере пользовательское выполнение PsInfo имел X: отображенный на удаленную долю файла. Запрашивая информацию о диске от удаленных компьютеров, PsInfo собирает информацию в СИСТЕМНОМ контексте, таким образом, только о глобально видимых объемах сообщают. Это не будет включать удаленные отображения диска, если отображения не будут созданы в СИСТЕМНОМ контексте, который делает их видимыми ко всем процессам на компьютере.

Отметьте, что PsInfo не отличает ассоциации SUBST. Если имя диска будет связано с локальным путем, то это появится в перечислении как другой фиксированный диск с теми же самыми характеристиками как реальный объем на системе.

-h опция сообщает об установленных заплатах относительно целевой системы. Информация о заплате собирается из нескольких точек в реестре, которые, как известно, содержат информацию о заплатах Internet Explorer и Windows.

-s опция сообщает об установленных приложениях согласно информации об удалении для приложений, найденных в реестре.

Чтобы сообщить о результатах как о разделенных от запятой значениях (CSV), добавьте-c опцию к командной строке. О следствиях каждого компьютера сообщают относительно одной строки, которая полезна для того, чтобы генерировать электронную таблицу. Чтобы использовать символ кроме запятой как разделитель, добавьте-t опцию, сопровождаемую требуемым символом. Чтобы использовать символ вкладки, используйте \t в качестве в следующем примере:

psinfo-c-t \t.

Если PsInfo сообщает относительно локального компьютера или единственного удаленного компьютера, код выхода PsInfo - число пакета обновления той системы. Сообщая относительно многократных систем, PsInfo возвращает стандартный код успеха или провала.

PsKill

PsKill - утилита командной строки, чтобы завершить процессы ID или названием картинки. Это может также использоваться, чтобы завершить все происходящие процессы целевого процесса. И как со всем другим PsTools, это может предназначаться для процессов и обработать деревья на удаленных компьютерах, используя альтернативные учетные данные если нужно.

 

Предупреждение PsKill сразу завершает процессы. Насильственно завершение процесса не делает
дайте этому возможность завершить работу чисто, и может вызвать потерю данных или системную нестабильность. В
дополнение, PsKill не обеспечивает дополнительные предупреждения, если Вы пытаетесь завершить критическое по отношению к системе про-
налог такой как Csrss.exe. Завершение критического по отношению к системе процесса приводит к непосредственному Windows
катастрофический отказ "синего" экрана.

 

Определите ID процесса (PID) в десятичном числе или названии картинки процесса, чтобы завершить на командной строке PsKill. Если параметр может быть интерпретирован как десятичное число, он, как предполагается, PID; иначе, это, как предполагается, название картинки. Название картинки не должно включать ".exe", но иначе должно быть точным совпадением — PsKill не принимает подстановочные знаки. Если Вы определите название картинки, то PsKill попытается завершить все процессы на системе, у которых есть то имя.

Если у Вас есть случай, где название картинки, оказывается, десятичное число, включает .exe часть имени так, чтобы параметр был обработан как имя и не как PID.

Добавьте-t опцию к командной строке, чтобы завершить дерево процесса целевого процесса или процессов. Дерево процесса целевого процесса - то, что процесс и любой потомок обрабатывают. Дерево процесса может визуализироваться с Проводником Процесса (тема Главы 3) или с-t опцией PsList, обсуждало затем в этой главе.

PsKill не требует административных прав завершить процессы, работающие в том же самом контексте защиты как PsKill и на том же самом компьютере. Административные права необходимы для всех других случаев.

Отметьте, что PsKill был первоначально разработан, когда Windows шел относительно с немногими утилитами командной строки. Windows XP и выше теперь включает и Taskkill.exe и Tskill.exe, которые предлагают все возможности PsKill и больше.

PsList

PsList, первая из утилит PsTools, которые я записал и которые основаны на утилите постскриптума, найденной на платформах UNIX, процессах выполнения списков и их характеристиках времени выполнения, таковы как использование ЦП и память. PsList может дополнительно показать отношения отцов и детей процесса, перечислить информацию на поток, или непрерывно самообновлять в режиме диспетчера задач. PsList может сообщить относительно локальных или удаленных процессов.

PsList не требует административных прав перечислить информацию о процессе о локальном ­компьютере. По умолчанию перечисление информации о процессе об удаленном компьютере Windows XP требует административных прав на целевой системе. На Windows Vista и более новый, элементы Администраторов, Пользователей Монитора Производительности, или Групп пользователей Журнала Производительности могут выполнить PsList удаленно. Удаленная служба Реестра должна работать на целевом компьютере.

Без параметров командной строки PsList перечисляет процессы, работающие на локальном компьютере в порядке, который они запустили, наряду с ID процесса (Изодромный с предварением заголовок столбца), приоритет процесса (Pri), число потоков (Thd), число дескрипторов к объектам ядра (Hnd), частной виртуальной памяти в килобайтах (Priv), общей сумме времени ЦП, заряженного к процессу, и прошедшее время начиная с запущенного процесса.

 

Отметьте, что PsList использует имя, "Неактивное", чтобы отослать к PID 0 псевдопроцессов, что Проводник Процесса и другие утилиты вызывают "Систему Неактивный Процесс." И как большинство других перечисляющих процесс утилит, PsList отдельно не идентифицирует псевдопроцесс Прерываний, который Проводник Процесса идентифицирует, вместо этого считая тот заряд ЦП к Неактивному процессу.

-t опция выводит на экран процессы в структурном виде, подобном тому из Проводника Процесса, с дочерними процессами, расположенными с отступом ниже их родительского процесса. Со структурным видом не появляются столбцы Time и Elapsed Time ЦП; вместо этого, PsList показывает зарезервированную виртуальную память (VM) и рабочий набор (WS) в килобайтах.

-m опция выводит на экран связанную с памятью информацию для каждого процесса, а не информацию о ЦП. Показанные статистические данные включают зарезервированную виртуальную память (VM), рабочий размер набора (WS), частная виртуальная память (Priv), пиковая частная виртуальная память во времени жизни процесса (Priv Pk), отказы страницы (Отказы) и включая твердые и включая мягкие отказы, и размеры непронумерованного страницы и пула подкачиваемой памяти (NonP и Пейдж, соответственно). Все емкости памяти находятся в килобайтах.

-d опция выводит на экран информацию о каждом потоке на системе. Потоки группируются при процессах, к которым они принадлежат и сортируются временем запуска. Информация, показанная для каждого потока, включает ID потока (Tid), приоритет потока (Pri), число переключателей контекста или числа раз, которое поток начал выполнять на ЦП (Cswtch), его текущее состояние (государство), количество времени, которое это выполнило в пользовательском режиме (Пользовательское Время) и в режиме ядра (Время Ядра), и Прошедшее время, так как поток начал выполнение.

-x опция выводит на экран ЦП, память, и информацию о потоке для каждого процесса.-m,-x, и-d опции могут быть объединены, но они не могут использоваться с-t опцией.

Вместо того, чтобы перечислить все процессы, можно определить который процессы вывести на экран ID частичным именем, или точным именем. Следующая командная строка выводит на экран информацию о процессе с PID 560 на компьютере по имени Win7_vm:

pslist \\Win7_vm 560.

Следующая команда выводит на экран ЦП, поток, и информацию о памяти обо всех процессах с именами, начинающимися svc:

pslist-x svc.

Добавьте-e к командной строке, чтобы соответствовать указанное имя процесса точно. В предыдущем примере только svc.exe были бы перечислены процессы; экземпляры svchost.exe не были бы перечислены.

-s опция выполняет PsList в режиме "диспетчера задач", в котором PsList периодически очищает и обновляет консольный экран с обновленной статистикой. Список сортируется столбцом ЦП, который выводит на экран процент времени ЦП, заряженного к каждому процессу начиная с предыдущего обновления. По умолчанию PsList обновляет дисплей однажды в секунду, пока Вы не нажимаете Escape. Можно определить много секунд для PsList, чтобы сразу работать после-s, и можно установить частоту обновления с -r опцией. Следующий пример выполняет PsList в режиме диспетчера задач в течение 60 секунд (или пока Вы нажимаете Escape), обновляя дисплей каждые пять секунд:

pslist-s 60-r 5.

-s опция может быть объединена с -m опцией, чтобы вывести на экран непрерывно обновляемую статистику памяти, и с процессами, сортированными частными байтами, а не использованием ЦП. Это может также быть объединено с -t опцией, чтобы непрерывно вывести на экран процессы в структурном виде, как Проводник Процесса делает. Можно также определить PID или частичное или точное имя процесса с этими опциями, чтобы ограничить который процессы вывести на экран в режиме диспетчера задач. Если Вы определяете PID, Вы могли бы хотеть определить это перед -s опцией так, чтобы это не было интерпретировано как число секунд, чтобы работать. Следующая команда непрерывно контролирует использование памяти leakyapp.exe на удаленном компьютере:

pslist \\Win7_vm-s-m-e leakyapp.

PsLoggedOn

PsLoggedOn говорит Вам, кто зарегистрирован к определенному компьютеру, или локально или через доли ресурса. Поочередно, PsLoggedOn может сказать Вам, к каким компьютерам в Вашей сети определенный пользователь зарегистрирован.

Без параметров командной строки, отчеты PsLoggedOn, какие пользователи локально зарегистрированы к текущему компьютеру и когда они входили в систему; это тогда сообщает о пользователях, которые зарегистрированы через доли ресурса и в какое время сеанс был запущен. (Эта последняя информация подобна тому, о чем сообщает сетевая команда сеанса.)

Чтобы просмотреть ту же самую информацию для входов в систему на удаленном компьютере, добавьте имя компьютера к командной строке, снабженной префиксом двойную наклонную черту влево:

psloggedon \\Win7_vm

Вы должны выполнить PsLoggedOn в соответствии с учетной записью, у которой есть административные полномочия на удаленном компьютере. PsLoggedOn - одна утилита PsTools, которая не предлагает -u и -p опции для того, чтобы определить альтернативные учетные данные. Кроме того, потому что PsLoggedOn использует Удаленную службу Реестра, чтобы собрать информацию от удаленного компьютера, это будет всегда показывать как соединение доли ресурса на компьютере, от которого Вы получаете информацию.

Чтобы показать только локальные входы в систему и не входы в систему доли ресурса отчета, добавьте -l (нижний регистр L) параметр командной строки. Чтобы показать только имена учетной записи без времен входа в систему, добавьте -x опцию.

Если Вы определяете имя пользователя вместо компьютера, PsLoggedOn ищет все компьютеры в текущем домене или рабочей группе и сообщает, зарегистрирован ли пользователь локально. Отметьте, что PsLoggedOn должен быть выполнен с учетной записью с административными правами на всех компьютерах в сети, и что поиск мог бы быть отнимающим много времени на большом или пропускной способности - ограниченная сеть.

Определение PsLoggedOn локально зарегистрированного пользователя - пользователь, которому загрузили его профиль в реестр. Когда профиль пользователя загружается, идентификатор безопасности пользователя (SID) появляется как подключ под HKEY_USERS. PsLoggedOn смотрит на отметку времени последней записи под подключом того ключа SID как приближение времени входа в систему пользователя. Время входа в систему, о котором сообщают, будет точным в большинстве случаев, но не является авторитетным. Для более полного и точного перечисления сеансов входа в систему на компьютере см. утилиту LogonSessions, описанную в Главе 8, "Утилиты Безопасности."

PsLogList

PsLogList выводит на экран записи из журналов событий Windows локального компьютера или удаленных компьютеров. Можно фильтровать вывод, основанный на отметке времени, источнике, ID, ввести, или другие критерии. PsLogList также позволяет Вам экспортировать записи журнала в *.evt файл, читать из сохраненного *.evt файла, или очищать журнал событий.

Без параметров PsLogList выводит все записи из Системного журнала событий на локальном компьютере. Чтобы просмотреть записи из различного журнала событий, только назовите это на командной строке. Например, следующие командные строки выводят записи из Журнала приложения и от журнала Windows PowerShell, соответственно:

 

Чтобы просмотреть записи от одного или более удаленных компьютеров, определите имена компьютеров на командной строке как описано в начале этой главы.

Каждая запись журнала событий включает источник события и ID события. ID события используется, чтобы искать и вывести на экран локализуемый, удобочитаемый текст от DLL ресурса сообщения, связанного с источником события. Тот текст сообщения может содержать заполнителей для текста, который может измениться на событие (такое как имя файла или IP-адрес). Тот текст на событие связывается с записью журнала событий как нуль или больше строк вставки. Большинство просматривающих событие приложений, включая Средство просмотра События, выводит на экран только строки вставки (не полный текст), когда DLL ресурса сообщения, на которые ссылаются, не присутствуют на локальной системе. Это делает текст трудным читать. Одна из функций, которая отличает PsLogList, читая удаленный журнал событий, - то, что это получит текст сообщения от DLL ресурса в тех удаленных системах. Однако, это требует, чтобы административная доля удаленной системы по умолчанию (Admin$) была включена и доступна, что DLL ресурса быть расположенным в соответствии с тем каталогом, и что Удаленная служба Реестра работает на той системе. Перед использованием PsLogList, чтобы собрать данные из удаленных систем, убедиться, что дело обстоит так на тех системах; иначе, PsLogList не будет в состоянии вывести на экран полный текст события.

 

PsLogList не требует административных прав вывести на экран записи от местного применения или Системных журналов или от сохраненного *.evt файла, или экспортировать журналы Приложения или Системы в *.evt файл. Административные права не могли бы быть необходимы, чтобы просмотреть Журнал приложения удаленного компьютера Windows XP, но текст события не будет доступен. Административные права обязаны очищать журналы событий или получать доступ к журналу локальной защиты или любым другим удаленным журналам событий.

Остальная часть параметров командной строки PsLogList получается в итоге в Таблице 6-2 и обсуждается более подробно в остальной части этого раздела.

 

По умолчанию PsLogList выводит на экран номер записи, источник, тип, компьютер, отметку времени, ID события, и текстовое описание каждой записи. PsLogList загружает исходные модули сообщения на системе, где просматриваемый журнал событий находится так, чтобы это правильно вывело на экран сообщения журнала событий.

The –x option displays any extended data in the event record in a hex dump format. With

that option, the previous record would appear like this:

Х-параметр отображает любые дополнительные данные, в случае записи в шестнадцатеричном формате свалку. С этот вариант, предыдущий рекорд будет выглядеть так:

-n опция ограничивает число записей, выведенных на экран к числу, которое Вы определяете. Следующая команда выводит на экран 10 новых записей в Журнале приложения:

psloglist-n 10 приложений.

По умолчанию PsLogList выводит на экран записи от самых старых до новейших.-r реверсы опции, которые упорядочивают, выводя на экран самые старые записи сначала. Следующая команда комбинирует-r с-n, чтобы вывести на экран 10 самых старых записей в Журнале приложения:

psloglist-r-n 10 приложений.

-s опция выводит на экран контент каждой записи на одной строке с разграниченными запятой полями. Это удобно для текстовых поисков, потому что можно искать любой текст в записи и видеть всю запись например, psloglist-s | findstr/i luafv.

-t опция позволяет Вам определять различный символ-разделитель, который может помочь с импортом в электронную таблицу. Отметьте, что PsLogList заключает в кавычки только текстовое поле описания в-s режиме, так выберите символ-разделитель, который не появляется ни в одном тексте события. Можно использовать \t, чтобы определить символ Вкладки. Отметьте также, что-x, расширенные данные не выводятся, когда-s используется.

-w опция выполняет PsLogList в непрерывном режиме, ожидающем и выводящем на экран новые записи события, поскольку они добавляются к журналу событий. Объединенный с другими опциями фильтрации, PsLogList выводит на экран только новые записи, которые соответствуют критериям. PsLogList продолжает работать, пока Вы не нажимаете Ctrl+C или Ctrl + Повреждение.-w опция не может использоваться когда предназначение удаленный компьютер.

-a и-b опции фильтруют записи, основанные на их отметках времени.-a опция выводит на экран только записи на или после определенной даты;-b опция выводит на экран только записи перед определенной датой. Отметьте, что даты должны быть в формате месяца/дня/года, независимо от регионального параметра форматирования даты в действительности. Следующая команда выводит на экран все записи от Системного журнала с 22 декабря 2009:

psloglist-a 22.12.2009-b 23.12.2009.

Вместо того, чтобы использовать определенную дату, можно получить новые записи из журнала событий, возвращающегося определенное количество времени.-d,-h, и-m опции, которым позволяют Вы вывести на экран новые записи, возвращающиеся определенное число дней, часов, или минут, соответственно. Следующая команда выводит на экран все записи от Системного журнала, который произошел за прошлые три часа:

psloglist-h 3.

Опция фильтра -f фильтрует записи на дисплей, основанный на типе события. Для каждого типа события, чтобы вывести на экран, добавьте его первую букву к фильтру. Например, -f e выводит на экран только ошибочные события,

-f ew выводит на экран ошибки и предупреждения, и -f f аудиты отказа дисплеев. Используйте i для информационных событий и s для успешных аудитов.

Чтобы вывести на экран только записи с ID определенного события, используйте -i опцию, сопровождаемую списком разделенных запятой значений - до 10 Идентификационных номеров. Чтобы исключить ID события, используйте -e опцию вместо этого. Не помещайте пробелы в пределах списка.

Чтобы вывести на экран только записи из источников определенного события, используйте-o опцию, сопровождаемую списком разделенных запятой значений исходных имен. Если какое-либо из исходных имен содержит пробелы, заключите весь набор в кавычки. Добавьте * символ, чтобы соответствовать текст, который Вы определяете где угодно на исходное имя. Не помещайте пробелы вокруг запятых. Чтобы исключить, а не включать записи, основанные на исходном имени, используйте-q опцию вместо-o. Следующий пример выводит на экран все события в Системном журнале от Диспетчера управления службами и любого источника события с сетью на его имя, за исключением записей с ID события 1 или 7036:

psloglist-o "диспетчер управления службами, сеть *"-e 1,7036.

Можно экспортировать журнал событий на локальном компьютере к *.evt файлу с -g опцией. Следующая команда экспортирует Журнал приложения в app.evt в текущем каталоге:

psloglist-g.\app.evt Приложение.

Можно просмотреть записи от сохраненного *.evt файла вместо из активного журнала событий с -l (нижний регистр L) опция. Так, чтобы текст события был должным образом интерпретирован, определите настоящее имя журнала также. Следующая команда выводит на экран 10 новых записей в сохраненном app.evt файле, используя файлы сообщения, связанные с Журналом приложения:

psloglist-l.\app.evt-n 10 приложений.

PsLogList поддерживает просмотр только из журналов событий стиля наследства — определенно, те, у которых есть именованный подключ под HKLM\System\CurrentControlSet\Services\EventLog. -z списки опций

журналы событий, которые доступны для просмотра на целевой системе. Отметьте, что зарегистрированное имя для журнала событий могло бы отличаться от имени дисплея, показанного в Средстве просмотра События.

Наконец, можно очистить журнал событий после отображения записей с -c опцией. Чтобы не вывести на экран записи, используйте фильтр, который исключает все, такое как -f x (никакие типы события не начинаются "с x"). Следующая команда очищает журнал событий безопасности на удаленном компьютере, не выводя на экран записей:

psloglist \\win7demo-c-f x безопасность.

PsPasswd

PsPasswd позволяет Вам устанавливать пароль для доменных или локальных учетных записей пользователя. Можно установить пароль для именованной локальной учетной записи на единственном компьютере, определенном наборе компьютеров, или всех компьютеров в Вашем домене или рабочей группе. Это может быть полезно особенно для установки паролей для учетных записей службы или для локальных встроенных учетных записей Администратора.

Чтобы установить доменный пароль, просто определите целевую учетную запись в формате domain\account, сопровождаемом новым паролем. Если имя учетной записи или пароль содержат пробелы, помещенные кавычки вокруг этого. Следующий пример устанавливает очень сложное, все же легко запомнил 28-символьный пароль для учетной записи MYDOMAIN\Toby:

pspasswd mydomain\toby "Пароль ++ на 99.9 % более хороший".

Пароль является дополнительным. Если Вы определяете учетную запись пользователя, но никакой новый пароль, PsPasswd применит нулевой пароль к учетной записи, если политика безопасности позволит это.

Чтобы установить пароль для учетной записи на локальном компьютере, определите только имя учетной записи и новый пароль. Снова, пароль является дополнительным: исключение этого от командной строки очищает пароль для учетной записи, если политика безопасности разрешает это.

Отметьте, что Сброс пароля локальной учетной записи пользователя может вызвать необратимую потерю зашифрованных данных, принадлежащих той учетной записи, такой как файлы, защищенные с Файловой системой с шифрованием (EFS).

Чтобы установить пароль для локальной учетной записи на одном или более удаленных компьютерах, используйте синтаксис удаленных компьютеров, описанный в начале этой главы, наряду с альтернативными учетными данными при желании. Затем определите имя учетной записи и дополнительный новый пароль. Следующий пример устанавливает пароль для локальной учетной записи Администратора на всех компьютерах в домене или рабочей группе к случайному, 50-символьному паролю:

pspasswd \\* Администратор "AHVKh*iK:F'Rv0 [8<Zdp#|,I.:TI_K ':W\xEwi9D3I, 0} tQ> tK".

По умолчанию только Доменные Администраторы или Операторы Учетной записи могут установить пароль для ­доменной учетной записи пользователя. Отметьте, что PsPasswd не принимает альтернативные учетные данные в­ основного случая учетной записи; следует выполнить PsPasswd с достаточными полномочиями изменить целевой пароль. Чтобы установить пароль для локальной учетной записи пользователя, административные права требуются на целевом компьютере.

PsService

Списки PsService или службы Windows средств управления и драйверы на локальной переменной или удаленной системе. Это подобно во многих отношениях SC.EXE и некоторым функциям NET.EXE, обе из которых идут с Windows, но предлагает улучшения удобства пользования и гибкости. Например, службы могут быть определены, используя имена службы или имена дисплея и, в некоторых случаях, частичные соответствия имени. PsService также включает уникальную возможность поиска службы, которая позволяет Вам искать экземпляры службы на Вашу сеть, так же как для служб, которые отмечаются "интерактивные".

Без параметров PsService перечисляет информацию о статусе для всего Win32 (пользовательский режим) службы, зарегистрированные на локальном компьютере. Можно, конечно, определить имя компьютера на ­командной строке, чтобы выполнить команды в удаленной системе, и дополнительно предоставить имя пользователя и пароль, если Ваши текущие учетные данные не имеют административных прав в удаленной системе.

PsService поддерживает следующие команды и опции, которые будут обсуждены более подробно в этом разделе:

■                запрос [-g группа] [-t {driver|service|interactive|all}] [-s {active|inactive|all}] [служба].

■                конфигурация [служба].

■                зависьте служба.

■                служба безопасности.

■                найдите службу [все].

■                служба setconfig {auto|demand|disabled}.

■                запустите службу.

■                остановите службу.

■                служба перезапуска.

■                служба паузы.

■                продолжение следует служба.

PsService/? списки эти опции. Команда PsService/? показывает синтаксис для именованной команды — например, psservice запрос /?.

PsService явно не требует административных полномочий для операций на локальном компьютере. Поскольку полномочия для каждой службы могут быть установлены отдельно, полномочия­, требуемые для любой локальной работы, могут измениться основанный, на котором включаются служба или службы. Например, хотя большинство не делает, некоторые службы предоставляют, что интерактивное пользовательское разрешение запускает и останавливает службу. Как другой пример, зависят psservice, сервер - команда, чтобы перечислить службы, которые зависят от службы Сервера. Список служб, о которых сообщают, будет отличаться для ­администраторов и неадминистраторов на Windows 7, потому что неадминистраторам не позволяют считать информацию о статусе для службы Слушателя HomeGroup, которая зависит от Сервера.

Запрос

Команда запроса выводит на экран информацию о статусе о службах или драйверах на целевой системе, используя гибкие критерии, чтобы определить, которые включать. Для каждой службы соответствия или драйвера, PsService выводит на экран следующее:

■                Имя службы внутреннее имя службы или драйвера. Это - имя, которого требует большинство команд sc.exe.

■                Имя дисплея имя дисплея, как показано в Службах хватка MMC - в.

■                Описание дескриптивный текст, связанный со службой или драйвером.

■                Группа Если определено, группа порядка загрузки, которой принадлежит служба.

■                Службы Пользовательского режима типа - или собственный процесс или процесс доли, в зависимости от того, может ли процесс службы разместить другие службы. Процессы пользовательского режима могут также быть отмечены "интерактивные" (хотя этому строго обескураживают). Драйверы могут быть драйверами ядра или драйверами файловой системы. (Драйверы файловой системы должны зарегистрироваться в менеджере по вводу-выводу, и они взаимодействуют более экстенсивно с диспетчером памяти.)

■                Государство Указывает, работает ли служба, остановленный, или приостанавливалась, или в переходе с запуском на ожидании, остановкой, паузой, или продолжать. Ниже этой строки PsService показывает, принимает ли служба остановку, или приостановите/продолжайте команды, и может ли это обработать предварительное завершение работы и завершить работу уведомлений.

■                Код выхода Win32 Нуль указывает на нормальную работу времени выполнения или завершение. Ненулевое значение указывает на стандартный код ошибки, о котором сообщает служба. Значение 1066 указывает на специфичную для службы ошибку. Значение 1077 указывает, что служба не была запущена начиная с последней начальной загрузки, которая нормальна для многих служб.

■                Специфичный для службы код выхода, Если код выхода Win32 1066 (0x42A), это значение, указывает на специфичный для службы код ошибки; иначе, у этого нет никакого значения.

■                Контрольная точка Обычно обнуляет, это значение постепенно увеличивается периодически, чтобы сообщить о продвижении службы во время длинного запуска, остановки, паузы, или продолжать операции. У этого нет никакого значения, когда работа не находится на рассмотрении.

■                Ожидайте подсказка количество времени в миллисекундах, что служба оценивает, требуется для запуска на ожидании, остановки, паузы, или продолжайте работу. Если то количество времени передает без изменения в государство или Контрольную точку, можно предположить, что ошибка произошла в пределах службы.

 

По умолчанию команда запроса PsService перечисляет все службы Win32, сконфигурированные на целевой системе, работают ли они или нет. (PsService без любых параметров командной строки эквивалентен запросу psservice.), Чтобы сузить список службой или именем драйвера, определите имя в конце командной строки. PsService сообщит об информации о статусе для всех служб и драйверов с точной или частично соответствующей службой или выведет на экран имена. Например, psservice запрашивают ras, перечислит все службы и драйверы, которые имеют службу или выводят на экран имена, начинающиеся ras. (Соответствие нечувствительно к регистру.)

Можно далее фильтровать результаты запроса по типу и по состоянию. Добавьте-t опцию, сопровождаемую драйвером, чтобы вывести на экран только драйверы, служба, чтобы вывести на экран только службы Win32, интерактивные, чтобы вывести на экран только службы Win32, которые отмечаются, позволяют службе взаимодействовать с рабочим столом, или всеми, чтобы не фильтровать результаты, основанные на типе. Чтобы фильтровать результаты запроса, основанные на том, являются ли служба или драйвер активными, добавьте-s к командной строке, сопровождаемой активным, неактивным, или все. Если имя службы не добавляется к командной строке, значениям по умолчанию PsService к отображению только служб Win32 и всех состояний. Если имя службы определяется, и-t не определяется, PsService выводит на экран соответствие служб или драйверов.

Отметьте, что Этому строго обескураживают, чтобы отметить "интерактивные" службы. Такие службы часто уязвимы для атак повышения полномочия и часто не будут работать над Windows Vista или более новый, или над более ранними версиями Windows с Быстрым Пользователем, Переключающимся или другими терминальными службами.-t интерактивная команда запроса psservice - легкий способ идентифицировать эти потенциально проблематичные службы.

Чтобы перечислить только службы или драйверы, которые принадлежат определенной группе порядка загрузки, назовите группу в честь -g опции. Название группы, соответствующее, нечувствительно к регистру, но должно быть точным совпадением, не частичным соответствием.

Все эти опции могут быть объединены. Следующая команда выводит на экран информацию о статусе для драйверов ядра на удаленном компьютере, которые находятся в группе Фильтра PnP, которые не загружаются, и которые имеют службу или выводят на экран имена, начинающиеся bth:

psservice \\win7x86-vm запрашивают-g "pnp фильтр"-t драйвер-s неактивный bth.

Конфигурация. Config/

Команда конфигурации выводит на экран информацию о конфигурации о службах или драйверах. Используемый отдельно, команда конфигурации PsService выводит на экран информацию о конфигурации обо всех, зарегистрировал службы Win32 на целевую систему. Добавьте имя после команды конфигурации, и PsService выведет на экран настройки конфигурации обо всех службах и драйверах со службой или выведет на экран имена, начинающиеся с имени, которое Вы определяете. Например, psservice конфигурируются, ras выводит на экран ­настройки конфигурации для всех служб и драйверов со службой или именем дисплея, начинающимся "ras" (нечувствительный к регистру).

 

Команда конфигурации выводит на экран следующую информацию:

■                Имя службы внутреннее имя службы или драйвера. Это - имя, которого требует большинство команд sc.exe.

■                Имя дисплея имя дисплея, как показано в Службах хватка MMC - в.

■                Описание дескриптивный текст, связанный со службой или драйвером.

■                Тип Указывает, конфигурируется ли элемент как собственный процесс или служба процесса доли и отмечается ли это "интерактивное"; сконфигурированный как драйвер ядра; или сконфигурированный как драйвер файловой системы.

■                Запустите Драйверы типа, которые загружаются при запуске, может быть отмечен, запускаются начальная загрузка, или система - запускаются; службы, которые загружаются при запуске, отмечаются автоматический запуск или автоматически запускают (задержанный). "Запустите требование" (также известный как "ручной запуск"), указывает на службы или драйверы, которые могут быть запущены как необходимый. "Отключенные" службы и драйверы не могут быть загружены.

■                Контроль ошибок Указывает на то, что должен сделать Windows, если служба или драйвер не в состоянии запуститься во время запуска Windows. Проигнорируйте или Нормальный означает, что Windows будет продолжать системный запуск, регистрируя ошибку в конечном счете регистрирует для Нормального случая. Если Серьезные или Критические перезапуски Windows, используя последнюю известную хорошую конфигурацию; если отказ происходит с "последней известной пользой", Серьезный продолжает загружаться в то время как Критические сбои запуск.

■                Двоичные Шоу пути путь к исполнимой программе, которая будет загружена, наряду с дополнительными параметрами командной строки для службы автоматического запуска.

■                Порядок загрузки группирует имя группы порядка загрузки, которой служба или драйвер принадлежат (пробел если не часть группы).

■                Тег Для запуска начальная загрузка и запускает система драйверы, которые являются частью группы порядка загрузки, тег - уникальное значение в пределах группы, которая может использоваться, чтобы определить порядок загрузки в пределах группы.

■                Службы зависимостей или загрузка упорядочивают группы, которые должны быть загружены прежде, чем эта служба или драйвер могут запуститься.

■                Служба запускает имя Для служб, имени учетной записи, под которым работает служба.

Зависеть. D e pend.

Зависеть команда перечисляет службы и драйверы, у которых есть прямые или косвенные зависимости от именованной службы. Например, psservice зависят, tdx перечисляет службы и драйверы, которые не могут запуститься, если tdx драйвер (Наследство NetIO Драйвер Поддержки TDI) не загружается.

 

Информацией, выведенной на экран зависеть командой, является то же самое как это для команды запроса. Имя службы на psservice зависит, командная строка должна точно соответствовать службу или имя дисплея зарегистрированной службы или драйвера; PsService не будет выполнять частичное имя, соответствующее для зависеть команды.

Видеть, который обслуживает определенную службу, зависит от, используйте команду конфигурации psservice.