Скрипт дла вытаскивания определённых событий из журнала ОС
Доброго времени суток!
При помощи скрипта вытаскиваю из журнала системных событий события по ID:
Код:
cscript EVTQUERY.vbs /FO LIST /V /L Security /FI "ID eq 512" /FI "Datetime eq 10.10.2009,01:00:00AM-11.10.2009,01:00:00AM" > sec.log
cscript EVTQUERY.vbs /FO LIST /V /L Security /FI "ID eq 513" /FI "Datetime eq 10.10.2009,01:00:00AM-11.10.2009,01:00:00AM" >> sec.log
cscript EVTQUERY.vbs /FO LIST /V /L Security /FI "ID eq 529" /FI "Datetime eq 10.10.2009,01:00:00AM-11.10.2009,01:00:00AM" >> sec.log
или так будет лучше:
Код:
cscript EVTQUERY.vbs /FO LIST /V /L Security /FI "ID eq 512 OR ID eq 513 OR ID eq 529" /FI "Datetime eq 10.10.2009,01:00:00AM-11.10.2009,01:00:00AM" > sec.log
каким из вариантов лучше будет воспользоваться?
возможно второй вариант отработает быстрее по времени т.к. будет искать сразу по 3м ID, в то время как в первом вариате по каждому ID журнал будет целиком проганяться ...
Заранее благодарен! |
Цитата:
Цитата SANIOK_AV
возможно второй вариант отработает быстрее по времени т.к. будет искать сразу по 3м ID, в то время как в первом вариате по каждому ID журнал будет целиком проганяться »
|
теоретически быстрей, но практически разницы не почувствуете, так как: 1) долго будет выполняться только 1-й WMI запрос, последующие прогоняются по тем же данным, т.е. будут использовать уже кешированные данные... разве только журнал не влезет в кэш, но при нынешних объемах RAM это маловероятно; 2) основное время будет затрачено на вывод/обработку данных, а не на сам запрос (тем паче при выводе в файл) |
Время: 05:00.
© OSzone.net 2001-
