PsLogList

PsLogList - выдать дамп журнала событий удаленной или локальной системы.

Синтаксис: psloglist [\\computer[,computer2[,...] | @file] [-u username [-p password]]] [-s [-t delimiter]] [-n # | -d #][-c][-x][-r][-a mm/dd/yy][-b mm/dd/yy] [-f filter] [-i ID,[ID,...]] [-o event source] [-l event log file] event log

Параметры:

-a - выдать данные после указанного времени (after).

-b - выдать данные до указанного времени (before).

-c - очистить журнал событий после выдачи (clear).

-d - выдать записи только за предыдущие n дней.

-f - использовать фильтр типов событий (начальная буква i - информация, w - предупреждения, e - ошибки,"-f we" - предупреждения и ошибки).

-i - выдать записи с указанным идентификатором ID (не более 10 ID).

-l - выдать содержимое ранее сохраненного в файл журнала событий.

-n - выдавать только первые n записей.

-o - выдавать только по источнику события (-o cdrom).

-s -t - ключи формирования выходного потока для строкового поиска.

event log - тип журнала (по умолчанию - System)

Пример: Выдать в файл errors.txt информацию о предупреждениях и ошибках за последние 10 дней на текущем компьютере в журнале System:

В текстовом файле будет список ошибок, если они есть. В данном случае ошибок обнаружено не было.

PsList

PsList - получить подробную информацию о запущенных процессах на локальной или удаленной системе.

Синтаксис: pslist.exe [-d][-m][-x][-t][-s [n] [-r n] [\\computer [-u username][-p password][name|pid]

-d - включить в отчет информацию о потоках, выполняемых процессом (thread details).

-m - включить в отчет информацию об использовании памяти (memory).

-x - включить в отчет все вышеперечисленное.

-t - выдать только дерево процессов (tree).

-s [n] - запускаться в режиме диспетчера задач, каждые n секунд (по умолчанию - 1 сек. Для завершения нажать Escape.

-r n - время обновления экрана в режиме диспетчера задач (по умолчанию -1 сек.).

name - выдать информацию только о процессе с именем name. Если имеется несколько процессов с одинаковым именем, (например FAR), то будет выдана информация обо всех процессах, имя которых соответствует name. Если в качестве name задать часть имени, например символ "F", то в отчет попадут сведения о всех процессах, имя которых начинаются с указанной буквы.

pid- выдать информацию о процессе с идентификатором pid. Будет выдана информация только об одном процессе, имеющем идентификатор pid.

Пример: выдать информацию о процессе, его потоках, использование им памяти.

PsKill

PsKill – команда, принудительно завершающая процесс.

Синтаксис: pskill [\\computer [-u username [-p password]]] < process ID or name >

Если \\computer опущено - то выполняется завершение процесса на локальной машине.

process Id or name - имя или идентификатор процесса (его можно получить с помощью рассматриваемой ниже утилиты PsList.exe).

Кстати, с помощью PsKill можно принудительно получить перезагрузку или даже "синий экран смерти" (BSOD- Blue Screen Of Death), если завершать системные процессы (lsass, winlogon и т.п.)

Пример: Завершить процесс с идентификатором 280 на компьютере LABOS0:

Команда: pskill \\LABOS0 –u ava –p avapass 280 – удалить процесс с идентификатором 280 на компьютере LABOS0 пользователя ava с паролем avapass.

Process 280 killed – процесс 280 удален.

PsInfo

PsInfo - выдает системную информацию об удаленной или локальной системе (версия ОС, тип процессора, видеоадаптера, объем ОЗУ, установленное ПО и т.п.).

Синтаксис: psinfo [-h] [-s] [-d] [-c [-t delimiter]] [\\computer[,computer[,..]]|@file [-u Username [-p Password]]]

Ключи (кроме рассмотренных выше для PSExec):

-h - включить в выдаваемый отчет информацию об установленных обновлениях (hotfixes).

-s - отображать список установленных программ.

-d - отображать информацию о дисках (тип, файловая система, метка тома, размер, объем свободного пространства).

-c - выдавать данные в формате CSV (текстовый файл с данными, разделенными по полям с помощью символа-разделителя - запятой). Вы можете импортировать данные из такого файла в другие приложения, например, в Excel.

-t - позволяет задать символ разделитель в файлах формата CSV, если он должен отличаться от запятой.

Пример: команда psinfo –d \\LABOS0 –u ava –p pass –вывести системную информацию о компьютере LABOS0 (версия ОС, ее тип и сервисный пакет, имя владельца компьютера и зарегистрировавшей его организации, дату установки, количество процессоров, их скорость, тип, объем ОЗУ, типы имеющихся запоминающих устройств). К примеру, диск С –жесткий, NTFS, размер – 9,99 гигабайт, свободное место – 314, 43 Мегабайта (3,1%).