以文本形式输出用户登录日志 (100条数目作为数量限制)
wevtutil.exe qe security "/q:*[System [(EventID=4624)]]" /f:text /rd:true /c:100 > c:\sys.txt
导出用户登录日志
wevtutil.exe qe security "/q:*[System [(EventID=4624)]]" /f:text /rd:true /c:100 > c:\sys.txt
导出用户登录日志
wevtutil.exe epl security "/q:*[System [(EventID=4624)]]" c:\%computername%.evtx
(可通过WIN7 事件查看器打开登录日志,然后点击查找,输入要查找的用户,查找成功后查看源网络地址即可找到指定用户登录的IP)