wevtutil简介与使用

最新推荐文章于 2024-12-27 08:30:00 发布
最新推荐文章于 2024-12-27 08:30:00 发布
阅读量2.6k 收藏 2
点赞数 1
分类专栏: Windows 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/VinWqx/article/details/129144289
版权

目录

一、wevtutil简介

二、wevtutil简单使用

三、参考资料

一、wevtutil简介

        wevtutil是微软Windows eventlog有关的工具,可以用于检索有关事件日志、导出、清除、归档事件日志等。

        语法:

wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] 
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>] 
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]

二、wevtutil简单使用

1、列出所有的事件日志

wevtutil el

2、导出事件日志

1、导出系统事件日志到D盘 
wevtutil epl System D:\System.evtx 

2、导出应用程序事件日志到D盘 
wevtutil epl Application D:\Application.evtx

3、清除事件日志

1、清除系统事件日志 wevtutil cl System 
2、清除应用程序事件日志 wevtutil cl Application 
3、清除系统事件日志并保存到D盘内 wevtutil cl System /bu:D:\System.evtx

三、参考资料

1、wevtutil | Microsoft Learn

逃避日志记录攻击过程
战神/calmness的博客
06-23 342
简述 windows事件日志简介Windows 系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 禁用Windows事件日志记录,是最常规红队手法,为了减少可用于安全人员检测和审核的数据量,提高红队活动的隐蔽性,红队人员可以禁用Windows事件日志记录。在windows各种日志中,最常用被安全人员审计的日志,有应用程序日志,系统日志,安全日志。 手法 1.使用Wevtutil命令清除事件日志 Wevt
Windows入侵痕迹清理
小晓晓晓林的博客
02-20 7920
Windows入侵痕迹清理 环境:Win10、Win7、Winxp虚拟机等 Windows日志 包括五个类别:应用程序、安全、Setup、系统、转发事件 查看方式 1、此电脑-右键管理-Windows日志 2、powershell(管理员权限) 查看所有日志:Get-winEvent 查看应用程序类别下的日志:Get-WinEvent -FilterHashtabl...
Kali渗透测试:Windows事件管理工具wevtutil使用方法
Liu_Bruce的博客
05-19 3578
Kali渗透测试:Windows事件管理工具wevtutil使用方法 渗透测试者发现可以利用事件日志(event logging)的方式来启动某一个程序。Windows系统对事件操作的工具就是Windows系统自带的wevtutil.exe(windows event utility),使您能够检索有关事件日志和发布者的信息。您还可以使用此命令安装和卸载事件清单、运行查询以及导出、存档和清除日志。 1. 语法(Syntax) wevtutil [{el | enum-logs}] [{gl | get-l
Windows】系统日志不会查?一文教你用 `wevtutil` 命令
weixin_39372311的博客
11-22 775
wevtutil
DOS 命令 | 每日一学,wevtutil 快速检索 Windows 系统事件日志元数据
WeiyiGeek 唯一极客IT知识分享
04-11 1473
wevtutil 命令工具包含在 %windir%\x5cSystem32 目录中,主要用于在计算机上注册提供程序的命令行实用工具, 还可以使用它来获取有关提供程序、其事件及其记录事件的通道的元数据信息,以及从通道或日志文件查询事件。wevtutil 命令工具包含在 %windir%\x5cSystem32 目录中,主要用于在计算机上注册提供程序的命令行实用工具, 还可以使用它来获取有关提供程序、其事件及其记录事件的通道的元数据信息,以及从通道或日志文件查询事件。路径下,但不支持使用文本编辑器打开。
启动应用程序出现wevtutil.exe找不到问题解决
wbcmbfy的博客
07-01 1285
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个wevtutil.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现wevtutil.exe丢失要怎么解决?
Windows痕迹清除(wevtutil.exe、meterpreter)
robacco的博客
09-23 1890
Windows痕迹清除: 1、事件查看器:在命令运行窗口输入eventvwr.msc命令打开Windows事件查看器,或在控制面板 管理工具中打开事件查看器 Windows事件管理工具为wevtutil.exe(https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/wevtutil),攻击...
使用Windows事件跟踪(ETW)观察公共语言运行时CLR.PPT
10-16
#### 一、Windows事件跟踪(ETW)简介 Windows事件跟踪(Event Tracing for Windows,简称ETW)是一种轻量级、高效的实时系统和应用程序行为跟踪技术。ETW允许开发者和系统管理员收集操作系统和应用程序在运行时产生...
精通windows server 2008 命令行powershell电子书PDF版(第一卷)
08-02
《精通Windows Server 2008命令行PowerShell》的内容简介回到顶部↑ 本书全面地介绍了windows server 2008命令行、powershell和脚本的使用,包括文件和文件夹的管理、磁盘管理、系统管理、活动目录管理、网络管理...
精通windows server 2008 命令行powershell 电子书PDF单文件完整版
09-08
7.7 wevtutil——管理Windows事件 343 第8章 故障恢复 349 8.1 bcdedit——配置数据存储编辑器 349 8.1.1 bcdedit命令简介 349 8.1.2 应用于存储的bcdedit命令选项 349 8.1.3 应用于存储项的bcdedit命令选项 351 ...
精通windows server 2008 命令行powershell 电子书PDF版(第四卷)
08-02
《精通Windows Server 2008命令行PowerShell》的内容简介回到顶部↑ 本书全面地介绍了windows server 2008命令行、powershell和脚本的使用,包括文件和文件夹的管理、磁盘管理、系统管理、活动目录管理、网络管理...
Windows7系统wevtutil.exe文件丢失问题
amio555的专栏
12-11 932
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个wevtutil.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现wevtutil.exe丢失要怎么解决?
wevtutil.exe文件丢失导致程序无法运行问题
2301_76755223的博客
04-17 780
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个wevtutil.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现wevtutil.exe丢失要怎么解决?
.NET内网实战:调用wevtutil进程实现痕迹清理
ahhacker86的专栏
12-27 825
本文内容部分节选自小报童《.NET 通过调用wevtutil进程实现痕迹清理》,保持长期更新!
wevtutil工具查看系统日志event log
Katherine1029的博客
01-26 1233
/{sq | structuredquery}:[true|false] # 如果为 true,则 <PATH> 是包含结构化查询的文件的完整路径。* /{sbm | savebookmark}:VALUE #VALUE 是用于保存此查询的书签的文件的完整路径。* /{lf | logfile}:[true|false] #如果为 true,则 <PATH> 是日志文件的完整路径。* /{bm | bookmark}:VALUE # VALUE 是包含上一查询的书签的文件的完整路径。
内网渗透基石篇—信息收集下
05-06 8920
前言: 目标资产信息搜集的程度,决定渗透过程的复杂程度。 目标主机信息搜集的深度,决定后渗透权限持续把控。 渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证。 一、收集域内基础信息 首先得做准备工作,才可以查询。 1.查询域(需要启动Computer Browser服务) win7 在计算机管理--服务--找到CB服务,然后开启; 2.net view /domain #查找域 3.查询域内所有计算机 net view /domain :HACKE 4.查.
Windows事件日志分析工具介绍,零基础入门到精通,收藏这一篇就够了
Python_0011的博客
12-17 1572
6、连接其他计算机事件查看器不仅可以显示本地计算机的日志,还可以配置为收集来自网络中其他计算机的日志。7、日志事件导出右键点击你想要导出的日志或在右侧菜单栏,选择“将所有事件另存为”,然后选择保存路径和文件格式,即可完成导出。03命令行工具 (wevtutil)1、打开命令行窗口按下Win + R键,打开“运行”对话框。输入cmd,点击确定或回车。2、基本命令获取wevtutil的帮助信息wevtutil /?3、使用案例参考041、打开PowerShell按下Win + R键,打开“运行”对话框。
如何设置自动清理事件日志
m0_67484548的博客
10-14 2757
如何设置自动清理事件日志
【红队战术】系统日志清除篇
黑剑
07-24 2468
攻击者可能会清除Windows事件日志以隐藏入侵活动。Windows事件日志是计算机警报和通知的记录。系统定义的事件源共有三种:系统、应用程序和安全性,并具有五种事件类型:错误、警告、信息、成功审核和失败审核。
使用wevtutil查询事件日志,仅输入当天的日志
最新发布
04-04
<think>嗯,用户想了解如何使用wevtutil查询当天的事件日志。首先,我需要回忆一下wevtutil的命令行选项,特别是如何过滤日志时间。记得wevtutil有query-log和/q参数,可以用来查询日志。但过滤时间可能需要使用过滤选项,比如使用/q加上XPath查询。 接下来,用户需要的是当天的日志,所以需要确定当天的日期范围。可能需要获取当前日期,并设置开始和结束时间。不过Windows事件日志的时间格式可能比较特别,比如是ISO 8601格式,或者某种特定的字符串格式,比如YYYY-MM-DDTHH:MM:SS。比如,当天的开始时间是00:00:00,结束时间是当前时间,或者23:59:59? 然后,构造XPath查询语句。XPath语法中,时间字段可能是TimeCreated的SystemTime属性。例如,使用*[System[TimeCreated[@SystemTime >= 'start' and @SystemTime <= 'end']]]这样的结构。需要将start和end替换成具体的日期时间值。 不过,用户可能希望仅输入当天的日志,而不需要手动输入日期。这时候可能需要动态生成当天的日期。在批处理脚本中,可以使用%date%环境变量,但格式可能因系统区域设置不同而变化,这可能导致问题。例如,英文系统和中文系统的%date%输出格式不同,可能需要处理一下。 或者,使用PowerShell来获取当前日期的正确格式,再传递给wevtutil。例如,在PowerShell中,可以获取当前日期的开始时间和结束时间,并格式化为ISO 8601格式,比如"yyyy-MM-ddTHH:mm:ss"。 另外,用户可能不知道如何组合这些命令,所以需要给出具体的示例,包括命令行和PowerShell的方法。同时需要注意权限问题,可能需要以管理员身份运行命令提示符或PowerShell才能访问某些日志。 还需要考虑日志名称,比如Application、System或Security日志,用户可能需要指定具体的日志名称。在示例中,可能需要给出使用System日志的例子,并提醒用户根据需要替换成其他日志名称。 另外,时间过滤是否包含毫秒?wevtutil的XPath是否需要包含毫秒部分?可能需要测试,通常可能不需要,但保险起见可以包括进去,比如".000Z"。 总结步骤:1.确定日志名称;2.构造时间范围;3.构建XPath查询;4.执行wevtutil命令。同时提供不同方法的示例,比如直接命令行中使用动态日期,或者使用PowerShell生成日期字符串。 可能还需要提醒用户时区的问题,因为SystemTime是UTC时间,而本地日期可能需要转换。例如,如果用户在中国时区(UTC+8),当天的00:00:00本地时间其实是前一天的16:00:00 UTC。这时候直接使用本地日期的00:00:00可能不准确。这可能会让用户困惑,因为查询结果可能不包括当天的事件。因此,可能需要将开始时间调整为UTC时间的前一日16:00,但这比较复杂。或者,使用PowerShell将本地时间转换为UTC时间,再构造查询条件。 不过,考虑到用户可能只是需要简单的方法,可能建议使用PowerShell来获取当天的UTC日期范围。例如,获取当天的开始时间和结束时间的UTC表示,然后构造XPath查询。 或者,如果用户不关心UTC时间,可以直接使用本地日期的字符串,但需要确保wevtutil接受本地时间格式。不过根据文档,TimeCreated的SystemTime属性是UTC时间,所以需要转换本地时间到UTC。 这可能会让步骤变得复杂,用户可能希望有一个简单的方法。所以可能需要提供一个折中的办法,使用当天的日期部分,忽略时间部分,比如查询SystemTime包含当天日期的日志条目,但这种方法可能不准确,因为时间部分可能跨天。 或者,考虑到用户可能只需要当天的本地日期的事件,不管UTC时间如何,可以生成当天的开始和结束的UTC时间。例如,对于北京时间(UTC+8),当天的开始时间是前一天的16:00 UTC,结束时间是当天的15:59:59 UTC。但这样处理起来比较复杂,可能需要脚本支持。 或许,可以推荐用户使用PowerShell来自动处理时间转换,生成正确的UTC时间字符串,然后构造查询命令。 最后,需要测试示例命令是否正确,确保语法正确,避免转义字符错误,比如在PowerShell中双引号内的变量替换和转义处理。</think>好的,下面分步骤说明如何使用 `wevtutil` 查询当天的事件日志: --- ### **步骤 1:理解时间格式要求** Windows 事件日志的时间属性使用 **UTC 时间**,格式为 `YYYY-MM-DDTHH:MM:SS.000Z`。例如,北京时区(UTC+8)的 `2023-10-01 08:00:00` 本地时间对应的 UTC 时间为 `2023-10-01T00:00:00.000Z`。 --- ### **步骤 2:构造查询命令** #### **方法 1:手动指定日期范围** ```cmd wevtutil qe System /q:"*[System[TimeCreated[@SystemTime>='2023-10-01T00:00:00.000Z' and @SystemTime<='2023-10-01T23:59:59.999Z']]]" /rd:true /f:text ``` - 替换 `System` 为日志名称(如 `Application`、`Security`)。 - 替换日期范围 `2023-10-01` 为实际日期。 --- #### **方法 2:动态获取当天日期(PowerShell脚本)** ```powershell # 获取当天日期范围(UTC时间) $TodayStart = (Get-Date -Hour 0 -Minute 0 -Second 0).ToUniversalTime().ToString("yyyy-MM-ddTHH:mm:ss.000Z") $TodayEnd = (Get-Date -Hour 23 -Minute 59 -Second 59).ToUniversalTime().ToString("yyyy-MM-ddTHH:mm:ss.999Z") # 执行查询 wevtutil qe System /q:"*[System[TimeCreated[@SystemTime>='$TodayStart' and @SystemTime<='$TodayEnd']]]" /rd:true /f:text ``` --- ### **参数说明** | 参数 | 作用 | |------|------| | `qe` | 查询日志事件 | | `System` | 日志名称(可替换为 `Application`、`Security` 等) | | `/q:"..."` | XPath 查询条件 | | `/rd:true` | 按时间倒序排列(最新事件在前) | | `/f:text` | 输出格式为纯文本 | --- ### **注意事项** 1. **管理员权限**:需以管理员身份运行命令提示符或 PowerShell。 2. **时区问题**:脚本已自动转换本地时间为 UTC 时间。 3. **日志大小限制**:如果当天日志过多,可添加 `/c:100` 限制输出条目数(如仅显示 100 条)。 --- ### **示例输出** ``` Event[0]: Log Name: System Source: Microsoft-Windows-Kernel-General Time Created: 2023-10-01T08:15:00.000Z Event ID: 12 Level: Information Message: 系统时间已更新。 ``` --- 通过以上方法,可精准筛选出当天的事件日志。如果需要更复杂的过滤(如按事件ID),可在 XPath 条件中添加 `EventID=1234` 参数。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值