想要根據xml檔案篩選器讀取遠端主機最新的幾條日志,結果老是提示:
error : wevtutil qe systemquery.xml /f:text /rd:true /c:3 /sq:true /r:\\******* /u:*********\administrator /p:************
沒仔細看原來指定了遠端主機時,不能加 \\,估計是這個指令不支援吧,systeminfo 遠端讀取帶 \\ 是可以的。正确指令:
wevtutil qe systemquery.xml /sq:true /f:text /rd:true /c:1 /r:********* /u:***********\administrator /p:**********
本以為這樣就好了:
其中的systemquery.xml
*[system[(level=2 or level=3 or level=5)]]
在開頭缺少了xml檔案的指定。添加後的systemquery.xml
*[system[(level=2 or level=3 or level=5)]]
查詢開始:
可以看到有這兩個錯誤:
在沒有配置的 dns 伺服器響應之後,名稱 server23.localdomain 的名稱解析逾時。
在沒有配置的 dns 伺服器響應之後,名稱 wpad.localdomain 的名稱解析逾時。
百度:
部分轉自:https://www.jb51.net/diannaojichu/381132.html
這是由于windows的一個叫做network connectivity status indicator (ncsi)的服務導緻的:每當使用者連接配接到網絡時,windows 7會向微軟的一個域名發送通路請求,再通過通路http://www.msftncsi.com/ncsi.txt獲得結果作為網絡連接配接狀況訓示器,你能夠看到“網絡受限”的警告就是由這個服務産生的。
通路這個網址:
在這個過程中微軟的dns伺服器可以記錄來自windows 7客戶機的一些基本資訊,接受通路的www.msftncsi.com所在的伺服器也可以獲得不少用戶端的資訊,數量龐大的情況下也可以作為側面一種統計的依據。作為一個“有系統潔癖”的人果斷是需要将此伺服器關閉的。
一開始在服務中一直都沒有找到這個叫做network connectivity status indicator (ncsi)服務,結果發現這家夥是直接寫在系統資料庫的服務項裡的(hkey_local_machine\system\currentcontrolset\services\nlasvc),并沒有顯式表現出來,這讓人不得不懷疑這服務是否本意就含有收集用戶端資訊來進行統計。需要關閉修改系統資料庫鍵值hkey_local_machine\system\currentcontrolset\services\nlasvc\parameters\internet\下的enableacetiveprobing值為0。
大家可以手動編輯,或者我在這裡寫了一個對應的腳本,右鍵管理者運作:
disable_ncsi_service.bat
@echo off
chcp 65001 >nul
cd /d %~dp0
title ncsi state change
setlocal enabledelayedexpansion
set ncsi_reg=hklm\system\currentcontrolset\services\nlasvc\parameters\internet
echo ncsi state change
echo ====================================
echo author:feiquan
echo create:2019/2/28 23:10
echo updatadate:2019/2/28 23:40
echo version:1.0v
echo function:
echo change ncsi reg path %ncsi_reg%
echo change ncsi reg value 0 or 1
echo =====================================
echo.
echo current ncsi service state:
for /f "skip=2 usebackq tokens=3" %%i in (`reg query %ncsi_reg% /v enableactiveprobing`) do set /a a=%%i & if !a!==1 ( echo enable & set data=0 ) else ( echo disable & set data=1)
echo.
set question=y
set /p question=do you want to change ncsi state ? (y/n)
if /i not "%question%"=="y" exit
echo start to change ncsi state:
reg add "%ncsi_reg%" /v enableactiveprobing /t reg_dword /d !data! /f
for /f "skip=2 usebackq tokens=3" %%i in (`reg query %ncsi_reg% /v enableactiveprobing`) do set /a a=%%i & if !a!==1 ( echo enable ) else ( echo disable )
timeout /t 3
exit
運作結果:
腳本下載下傳:
連結:https://pan.baidu.com/s/1-tmjk56k4x2ypardt0rhcg
提取碼:ra8r