cmd wevtutil 讀取遠程日志錯誤，Error:在沒有配置的 DNS 服務器響應之后，名稱 Server23.localdomain 的名稱解析超時。

想要根據xml文件篩選器讀取遠程主機最新的幾條日志，結果老是提示：

Error : wevtutil qe SystemQuery.xml /f:text /rd:true  /c:3  /sq:true /r:\\******* /u:*********\administrator /p:************

 

  　　看我之前的文章：Windows提示 錯誤: RPC 服務器不可用 解決方法。結果設置一樣。。。。。

　　沒仔細看原來指定了遠程主機時，不能加 \\ ，估計是這個命令不支持吧，systeminfo 遠程讀取帶 \\ 是可以的。正確命令：

wevtutil qe SystemQuery.xml  /sq:true /f:text /rd:true  /c:1 /r:********* /u:***********\administrator /p:**********

　　本以為這樣就好了：

　　其中的SystemQuery.xml

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*[System[(Level=2 or Level=3 or Level=5)]]</Select>
  </Query>
</QueryList>

 　　在開頭缺少了xml文件的指定。添加后的SystemQuery.xml

<?xml version="1.0" encoding="UTF-8"?>
<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*[System[(Level=2 or Level=3 or Level=5)]]</Select>
  </Query>
</QueryList>

　　查詢開始：

可以看到有這兩個錯誤：

在沒有配置的 DNS 服務器響應之后，名稱 Server23.localdomain 的名稱解析超時。
在沒有配置的 DNS 服務器響應之后，名稱 wpad.localdomain 的名稱解析超時。

　　百度:

　　　　部分轉自：https://www.jb51.net/diannaojichu/381132.html

　　這是由於Windows的一個叫做Network Connectivity Status Indicator (NCSI)的服務導致的：每當用戶連接到網絡時，Windows 7會向微軟的一個域名發送訪問請求，再通過訪問http://www.msftncsi.com/ncsi.txt獲得結果作為網絡連接狀況指示器，你能夠看到“網絡受限”的警告就是由這個服務產生的。

訪問這個網址：　　

　　　　　　

 

　　在這個過程中微軟的DNS服務器可以記錄來自Windows 7客戶機的一些基本信息，接受訪問的www.msftncsi.com所在的服務器也可以獲得不少客戶端的信息，數量龐大的情況下也可以作為側面一種統計的依據。作為一個“有系統潔癖”的人果斷是需要將此服務器關閉的。

 　　一開始在服務中一直都沒有找到這個叫做Network Connectivity Status Indicator (NCSI)服務，結果發現這家伙是直接寫在注冊表的服務項里的（HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc），並沒有顯式表現出來，這讓人不得不懷疑這服務是否本意就含有收集客戶端信息來進行統計。需要關閉修改注冊表鍵值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\下的EnableAcetiveProbing值為0。

 

　　大家可以手動編輯，或者我在這里寫了一個對應的腳本，右鍵管理員運行：

Disable_NCSI_service.bat

@echo off
chcp 65001 >nul
cd /D %~dp0
Title NCSI state Change
setlocal enableDelayedExpansion
set NCSI_reg=hklm\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet

echo NCSI state Change
echo ====================================
echo Author:feiquan
echo Create:2019/2/28 23:10
echo UpdataDate:2019/2/28 23:40
echo Version:1.0v
echo Function:
echo     Change NCSI reg Path %NCSI_reg%
echo     Change NCSI reg Value 0 or 1
echo =====================================

echo.
echo Current NCSI service state:
for /F "skip=2 usebackq tokens=3" %%i in (`reg query %NCSI_reg% /v EnableActiveProbing`) do set /a a=%%i & if !a!==1 ( echo Enable & set data=0 ) else ( echo  Disable & set data=1)
echo.
set question=y
set /p question=Do you want to change NCSI state ? (Y/N)
if /i not "%question%"=="Y" exit
echo Start to change NCSI state：
reg add "%NCSI_reg%" /v EnableActiveProbing /t reg_dword /d !data! /f
for /F "skip=2 usebackq tokens=3" %%i in (`reg query %NCSI_reg% /v EnableActiveProbing`) do set /a a=%%i & if !a!==1 ( echo Enable ) else ( echo  Disable )
timeout /t 3
exit

運行結果：

 

腳本下載：

　　鏈接：https://pan.baidu.com/s/1-tmjk56k4x2YPaRdT0RhCg
　　提取碼：ra8r