Windows操作系统日志的自动化定期归档备份

1、应用技术件妙卜融九納HXKM HI. COMI1TKROKIII VSKN.2006 年 11 J 10 日第 11 期Windows操作系统日志的自动化定期归档备份中国人民银行广州分行李承康#NOV. 10>2006 NO. 1 1应用技术件妙卜融九納HXKM HI. COMI1TKROKIII VSKN.2006 年 11 J 10 日第 11 期#NOV. 10>2006 NO. 1 1应用技术件妙卜融九納HXKM HI. COMI1TKROKIII VSKN.2006 年 11 J 10 日第 11 期一、技术简介操作系统口志，按曲一定规范记录了一个操作 系统运行的各个方面

2、的细节情况作系毓生产 运行中产生的匝要客观历史数抑;，用于操作系统的 排错、优化和安金审计。操作系统FI志的01档备份， 足操作系统F1常运行维护的一项匝耍T作，对操作 系统的安全稳定运行具仃乘耍意义。在中国人民银 行总行科技司卜发2006年分支行考核指标体系 中,系统日志定期归档也是应用系统运行维护部分 的一项考核内容。Windows操作系统维护三个相互独立的Fl志 文件：W用程序R志、安全性FI志、系统F1志。这三 个H志按其独仃的EVT格式，保存在Windows安 装目录的system32 config 子目录中.操作系统本 身并没仃提供系统H志自动归档备份的功能，同时 由于操作系统片用

3、的原因这三个II志文件不能通 过K接拷贝的方法来备份，只能在审件査行器中通 过选样菜甲“另存I I志文件”来逐个手T备份。当系 统数虽较多时，机械性的H志手T " I档龄份就片用 了相当大的T作駅，同时操作凰来也不够标准与规 范。从“提髙匸作效率，规范T作流程，增删匚作能 力”的思路出发，笔者摸索出一套综合运用丁具软 件、脚本语言和计划任务实现Windows操作系统H 志白动化归档涪份的方法。Windows的Resource Kit工具包中提供了一个 免费的工具软件叫 dumpel. exe(Dump Event Log)。 它是一个运行在Win32平台的命令行程序，可以将 Wind

4、ows操作系统口志按一定的标准备份到一个 可被Excel打开的格式化的文本文件。dim屮cl. rxe 通过命令行参数指定备份H志的类空(丿"用程序、 安全性、系统)、备份FI志文件的路径、以及往前备 份日志的天数等.dumpel. exe的F载地址http: / www inicrosoft. com/downloads/details, aspx? Family ID =c9<：311>3< c3a9 4a73 86a3 630a3c475c 1 a& Displayling = eiio仅养Fl志备份T具软件不能完全实现丨I志的 定期归档备份，还需要借

5、助Windows脚木语言 (Windows Script) 用和组织丨I志的州档备份。Windows脚本语言是一种内嵌于 Windows操作系 统的解释型语言，便用简便、功能强大、接I I良好。 借助Windows脚木，只需要通过编鶴小巧的脚本， I何不是传统的程序，就町以调用操作系统水身或者 其它软件m件所提供的功能，来完成系统运行维护 伶理的各项工作。同时，因为脚水语言具仃非交互 性的特点，还便于在系统的计划任务中设克定期H 动执行。二、便用说明Windows 脚本(bak_winog. js)实现 Windows 操作系统应用程序、安全性和系统日志定期归档备份，备份口志按刃分口录组织山档

6、存放。它的命令 行用法如K：cscript bak_winJog. js e 备份程序的 I I 录 -p归档目录-d往前笛份人数脚木支持三个参数，参数标志J参数内容之间 不留空格。e备份程序的I I录（dim屮cl. exe所在的目 录九缺省为空，这时备份程序耍在为前口录或者 系统的PAT11 'P.-P归档目录（备份口志归档存放的目录）。缺省为空,即当前目录。-<1往前备份人数（从今人起往前备份多少人 的日志）。缺省为I,即只备份昨人和今人到目前为止的 F1志。假设今天足2006年8刀1 1 Fl, （lumphl. exe保 存在c: exe I i录，口志要备份到d: w

7、inog 目录, 则命令行* cscript bak_winJog. js ec: exe pd: winjog -<17的执行结果就是将8刀4 Fl至8刀1 1 日之间的系统日志保存在（I: winJog200608 的目 录中，三个类巾的F1志备份文件名分别是20（）6081 1_ app. xls>200608 ll_?ec. xls>2006081 I_sys. xls.口志备份L档软件的女裝分两步完成。第- 步,在计VZ机的个目录中XX制dumpel. exe和 l）ak_inJog. js两个文件。第二步，在控制而板的任 务计划屮新建-个任务，按照上述的命令行格式

8、填 好脚本的乞个参数，并设置计划任务的口程安排 （例如何人凌辰00: 00执行）即可。这个方 法在 Windows NT 4、Windows 2000、 Windows XP和Windows 2003 :宇系统环境卜通过测 试，均较好地完成了 Windows系统志门动化，档 涪份的任务。完整的脚水如F：/bak_u injog. js/获得当前时间YYYYMMDD表示的曲数function getCurYYYYMM 1)1)()today = new Dale ();var year = t<xlay. gctFullYear():var month = today, get Month

9、 () + 1： if( month <10)(month = "0" + montli;var date = today. getl)ate(); if( date < 10 )return year + month + date; /补齐目录结尾的function !nakcl)ir( str )if( str. charAt( str. length)rlsc(return sir +return str;)/处理命令行参数var args = WScript. Arguments;var days = 1;var path =var exepath =f

10、br( i = 0; i < args, length; i + + )(date = *0* + date;78NOV. 10>2006 NO. 1 1应用技术782006 年 11 7J 10 口 第 11 期HNANC1AI. COMItTKR OF III AN Altvar a = args( i );if( a. indexOf( 4) = = 0 ) exepath = 3 sul)$tring( 2. a. 1 ength );if( a. indexOf( * - p* ) = = 0 ) path = a. substring( 2. a. length );i

11、f( a. indexOf( “) = = 0 ) days = & bul)$triiig( 2, a. 1 eiigth );/补齐目录结尾的eXepath 一 makeDir( eXepath )； path = inakrDir( path );/获得肖前时间的字符串表示var YYYYMMDD = getCurYY YYMMI)1)();var YYYYMM = YYYYMMDD. substring( 0, 6 );/判断按J存放的目录是否存在var fso - new ActiveXObject C Scripting. FileSystemObject );if( fs

12、o Fol(lerExislb( path + YYYYMM ) ! = true ) U. CreateFol(ler( path + YYYYMM );"/"/d I <)1 V/ J(H)K) O1 1 oiikk) i ooimmvw/")/执行程序，导出三个日志var W6 = new ActiveXObject(* WScripl. shell");wg. run(exepath +adumpel. exe/1" + "application" + " /f" + path + YYYY

13、MM + “ ” + YYYYMMDD +M_app. xb /(I” + days.0, true);wa. run(exel)atli + M(kitnpel. rXr/1" +"security " + " /f " + path 4- YYYYMM + “ ” + YYYYMMDD +“*. xb/(l” +days. 0, true );ws. run(exe|>ath +"(himpel. exe/1 * + * system * + */f " + atli + YYYYMM +“ ” + YYYYMMD

14、D +“如.xk /(I” +(lay«, 0, true )；三、思不体会木文所介绍的方法与思路并不局限于Win (lows操作系统的口志本身，横向可适用其他操作 系统(如/MX. Linux系统)的口志备份，纵向可适用 J-数抑;咋、丿应用或网络设齐的口志备份。在我们系统口常的运行维护符理工作中，存在 着大量类似操作系统口志川档备份这样规范性高， 录复性強的机械性T作，如数据备份、指标检査和 文件淸理等，如果都赤系统符理员一项项地于T 來立成，一方而工作效率低厂另一方而也会因为 人的外部14变因素而导致T作完成得不够及时、标 准利规范。而这种规范性高、匝复性強的机械性工 作，则正

15、是计畀机所擅氏处理的，大戢的机械化T 作往往部«r以借助系统本身或者其它途径用门动 化的方式來很好地完成。在遵守系统运行维护行理 制股的前提卜S允分采用门动化的手段来完成系统 的运行维护符理，一方而町以提高工作的标粧与规 范，另一方而也可以仗系统管理员减少不必要的E 作负押，解放牛产力，将时间勺将力放在真正需要 的地方.运行维护管理白动化，是通过让计算机去完成 大屋®复性的机械工作来减轻系统件理员的负担, (H并不意味着系统管理员的匸作就叫以轻视或者 免除.系统管理员的人维护伶理，是必不可少和 不呵取代的。同时，运行维护符理白动化，必须在遵 守利结合系统运行维护伶理制度的前提卜，根据具 体系统和环境因地制乍i：地进行，而不存在一个通丿H 和刀能的解决办法，需庚人主动地、创造性地去制 定和实现，这也正是系统符理员的职贵所在。(责任編辑:爲碧波)79NOV. 10,2006 NO. 1