Windows 7 Resource Kit PowerShell Pack

16.10.2009 — Xaegr

James Brundage, один из разработчиков PowerShell, выложил коллекцию модулей PowerShell написанных для Windows 7 Resource Kit. Один из них, IsePack, я уже давно активно использовал, и ждал когда же он наконец появится в публичном доступе 🙂 Этот модуль расширяет возможности PowerShell ISE, добавляя своё меню с различными интересными плюшками 🙂
isepack
Большая часть кода с подсветкой в моих последних постах вставлена именно с его помощью 🙂
Впрочем это только один модуль из тех что выложил Джеймс. Весь PowerPack можно скачать здесь. Ниже полный список модулей:

WPK — Легко и быстро создаёт пользовательские интерфейсы из PowerShell. Типа HTA, но просто 🙂 Более 600 скриптов для быстрого создания интерфейсов. Для начала рекомендуется прочитать Writing User Interfaces with WPK

IsePack — Расширяет ISE, добавляя более 35 действий.

TaskScheduler — Выводит назначенные задания, создаёт и удаляет их.

FileSystem — Отслеживание файлов и папок, проверка на дубликаты и свободного места на диске.

DotNet — Explore loaded types, find commands that can work with a type, and explore how you can use PowerShell, DotNet and COM together Исследуйте загруженные типы, находите команды для работы с ними, и изучайте как вы можете использовать PowerShell, DotNet и COM вместе.

PSImageTools
Инструменты для конвертирования, поворота, изменения размера, обрезки изображений и получения их метаданных.

PSRSS — Работа с FeedStore из PowerShell .

PSSystemTools — Получение информации об операционной системе и оборудовании.

PSUserTools — Получение списка пользователей, проверка привилегий и т.п.

PSCodeGen — Генерирует PowerShell скрипты, код C# и P/Invoke.

Я пока еще не пробовал все эти модули, так что неточности в переводе обязательны 🙂 Качаем и смотрим 🙂

Опубликовано в 2.0, PowerShell, Scripting, Utility, Windows 7. Метки: , , , , , , . Комментарии к записи Windows 7 Resource Kit PowerShell Pack отключены

Handle.exe или как разблокировать файл

28.4.2009 — Xaegr

Думаю нет среди моих читателей человека, который не сталкивался бы с проблемой файлов “залоченных” другими процессами. Ситуация вобщем то простая, и естественная – программа, для работы с файлом, открывает его с доступом на запись, или для монопольного чтения. Подробности наверное интерисуют лишь программистов, а нам важно понять что за процесс открыл этот файл, и как его освободить. Для этого я обычно использую утилиту от SysinternalsHandle.exe.

К примеру, захотелось мне удалить один файлик…

PS Q:\temp> del .\wlan-870isr.pdf
Remove-Item : Cannot remove item Q:\temp\wlan-870isr.pdf: 
The process cannot access the file 'Q:\temp\wlan-870isr.pdf'
because it is being used by another process.

Не очень приятная ситуация, особенно если удалить файл очень надо, а процесс который его открыл – неизвестен. Ничего страшного, просто скармливаем имя файла (или его часть) утилите:

PS Q:\temp> handle wlan-870isr.pdf

Handle v3.41
Copyright (C) 1997-2008 Mark Russinovich
Sysinternals - www.sysinternals.com

AcroRd32.exe       pid: 3656    278: Q:\temp\wlan-870isr.pdf

Вот теперь нам известен виновник! Можно конечно просто завершить процесс Acrobat Reader’а, и все открытые им файлы будут освобождены:

PS Q:\temp> Stop-Process -Id 3656 -WhatIf
What if: Performing operation "Stop-Process" on Target "AcroRd32 (3656)".

Но что если мы не хотим завершать процесс, но при этом уверены что файл этой программе не нужен и она просто забыла его закрыть? Можно просто принудительно закрыть ссылку на файл (handle). Разумеется этого делать не рекомендуется если вы не уверены что всё кончится хорошо. Программа будет предполагать что файл всё еще открыт ею, и это может привести к неожиданным ошибкам. Но если очень хочется – то можно 😉

PS Q:\temp> handle -p 3656 -c 278

Handle v3.41
Copyright (C) 1997-2008 Mark Russinovich
Sysinternals - www.sysinternals.com

  278: File  (---)   Q:\temp\wlan-870isr.pdf
Close handle 278 in AcroRd32.exe (PID 3656)? (y/n) y

Handle closed.

Вот и готово. После этого, Acrobat Reader даже дал мне полистать несколько страниц документа, правда потом выдал ожидаемую ошибку 🙂

image

Возможно вам повезет больше 😉 Иногда эта функция действительно бывает полезна.

Кстати чтобы handle.exe не переспрашивал вас, можно добавить ключ –y

Опубликовано в SysInternals. Метки: , , , . 4 комментария »

EventCombMT – поиск в журналах событий

17.4.2009 — Xaegr

Когда вы последний раз просматривали журналы событий на ваших серверах?

Во многих организациях до сих пор не внедрены такие системы как SC Operations Manager или SC Essentials. Причины могут быть самыми разными, но факт остаётся фактом. Но тем не менее, отслеживать журналы всё равно нужно, думаю это очевидно всем. Один из способов – создать консоль MMC в которую добавить снапины журнала событий с разных серверов. Другой вариант – воспользоваться бесплатной утилитой от Microsoft, про которую я случайно узнал буквально пару часов назад 🙂

image

EventCombMT не требует установки, все настройки помещаются на одном экране. Функционал тоже не богат – всё что может утилита, это выполнять поиск событий в журналах нескольких серверов, по заданным критериям. Но зато уж это она делает вполне хорошо 🙂

Анализируемые серверы добавляются в окошко справа вверху, причем утилита может самостоятельно получить всех серверов из домена. Затем необходимо выбрать в каких журналах событий вы хотите искать (System, Application, Security…) и какие типы событий вам интересны – ошибки, предупреждения, информационные сообщения, или события аудита.

Разумеется можно перечислить интерисующие ID  событий (или даже указать диапазон), выбрать источник сообщений, и указать текст для поиска в сообщениях. В поле Scan Back задается период давности событий.

image

Поиск выполняется в несколько потоков. В процессе анализа SID’ы пользователей преобразовываются в человекопонятные названия, а дополнительная текстовая информация о событиях, извлекается из соответствующих DLL’ок.

После завершения поиска, EventCombMT откроет в проводнике временную папку в которой находятся файлы с именами серверов, внутри которых вы уже найдете строки с отобранными событиями. Например: 

55,ERROR,Ntfs,Wed Jul 02 09:39:47 2008,,The file system structure on the disk is corrupt and unusable.  Please run the chkdsk utility on the volume Backup.

Разумеется EventCombMT и близко не сравнить с возможностями OpsMgr, Essentials или другими системами мониторинга, но зачастую такой инструмент лучше чем анализ логов вручную, или написание сложных скриптов для разовой задачи.

Скачать утилиту можно в комплекте Security Guide Scripts, тут.

Опубликовано в Utility. Метки: , , . Комментарии к записи EventCombMT – поиск в журналах событий отключены