本文介绍了Windows系统中的wevtutil命令行工具,用于操作事件日志,包括查看日志列表、获取配置信息、安装卸载发布者、查询事件等,提供了详细的用法和选项说明。
wevtutil
未指定命令。
Windows 事件命令行实用程序。
用于检索有关事件日志和发布者的信息,
安装和卸载事件清单,运行查询以及导出、存档和清除日志。
用法:
你可以使用短(如 ep /uni)或长(如
enum-publishers /unicode)形式的命令和选项名称。
命令、选项和选项值不区分大小写。
变量均使用大写形式。
wevtutil COMMAND [ARGUMENT [ARGUMENT] ...] [/OPTION:VALUE [/OPTION:VALUE] ...]
命令:
el | enum-logs 列出日志名称。
gl | get-log 获取日志配置信息。
sl | set-log 修改日志配置。
ep | enum-publishers 列出事件发布者。
gp | get-publisher 获取发布者配置信息。
im | install-manifest 从清单中安装事件发布者和日志。
um | uninstall-manifest 从清单中卸载事件发布者和日志。
qe | query-events 从日志或日志文件中查询事件。
gli | get-log-info 获取日志状态信息。
epl | export-log 导出日志。
al | archive-log 存档导出的日志。
cl | clear-log 清除日志。
常用选项:
/{r | remote}:VALUE
如果指定,则在远程计算机上运行该命令。VALUE 是远程计算机名称。
/im 和 /um 选项不支持远程操作。
/{u | username}:VALUE
指定一个不同的用户以登录到远程计算机。
VALUE 是 domain\user 或 user 形式的用户名。只有在指定 /r 选项时才适用。
/{p | password}:VALUE
指定的用户密码。如果未指定,
或者 VALUE 为 "*",则会提示用户输入密码。
只有在指定 /u 选项时才适用。
/{a | authentication}:[Default|Negotiate|Kerberos|NTLM]
用于连接到远程计算机的身份验证类型。默认值为 Negotiate。
/{uni | unicode}:[true|false]
使用 Unicode 显示输出。如果为 true,则使用 Unicode 显示输出。
要了解特定命令的详细信息,请键入以下命令:
wevtutil COMMAND [ARGUMENT [ARGUMENT] ...] [/OPTION:VALUE [/OPT]
wevtutil COMMAND /? #二级命令帮助
#命令参数:
el | enum-logs 列出日志名称。
gl | get-log 获取日志配置信息。
sl | set-log 修改日志配置,为应用程序日志设置保留、自动备份和日志大小上限。(之后输出XML)
ep | enum-publishers 列出事件发布者。
gp | get-publisher 获取发布者配置信息。
/{ge | getevents}:[true|false] #获取此发布者可能引发的事件的元数据信息。
/{gm | getmessage}:[true|false] #显示实际消息,而不是数字消息 ID。
/{f | format}:[XML|Text] #指定日志文件格式。默认值为 Text。如果指定 XML,则使用 XML 格式打印输出。如果指定 Text,则不使用 XML 标记打印输出。
im | install-manifest 从清单中安装事件发布者和日志。
/resourceFilePath)形式的选项名称。 #选项及其值不区分大小写。
/{rf | resourceFilePath}:VALUE #要替换的清单中的提供程序元素的 ResourceFileName 属性。 #VALUE 应该是资源文件的完整路径。
/{mf | messageFilePath}:VALUE #要替换的清单中的提供程序元素的 MessageFileName 属性。VALUE 应该是消息文件的完整路径。
/{pf | parameterFilePath}:VALUE #要替换的清单中的提供程序元素的 ParameterFileName 属性。VALUE 应该是参数文件的完整路径。
um | uninstall-manifest 从清单中卸载事件发布者和日志。
qe | query-events 从日志或日志文件中查询事件。
* /{rd | reversedirection}:[true|false] #事件读取方向。如果为 true,则先返回最近的事件。
* /{lf | logfile}:[true|false] #如果为 true,则 <PATH> 是日志文件的完整路径。
* /{sq | structuredquery}:[true|false] # 如果为 true,则 <PATH> 是包含结构化查询的文件的完整路径。
* /{q | query}:VALUE # VALUE 是用于筛选读取的事件的 XPath 查询。如果未指定,则返回所有事件。如果 /sq 为 true,则不能使用此选项。
* /{bm | bookmark}:VALUE # VALUE 是包含上一查询的书签的文件的完整路径。
* /{sbm | savebookmark}:VALUE #VALUE 是用于保存此查询的书签的文件的完整路径。文件扩展名应为 .xml。
* /{f | format}:[XML|Text|RenderedXml] #默认值为 XML。如果指定 Text,则使用易于读取的文本格式打印事件,而不是使用 XML 格式。
* #如果指定 RenderedXml,则使用 XML 格式打印事件并包含呈现信息,使用 Text 或 RenderedXml 格式打印事件,比使用 XML 格式打印慢。
* /{l | locale}:VALUE # VALUE 是以特定区域设置打印事件文本的区域设置字符串。只有在使用 /f 选项以文本格式打印事件时,才能使用该字符串。
* /{c | count}:<n> # 要读取的最大事件数。ve
* /{e | element}:VALUE #在输出事件 XML 时,包含一个根元素以生成正确格式的 XML。VALUE 是要包含在根元素中的字符串。例如指定 /e:root 将导致使用根元素对 <root></root> 输出 XML。
gli | get-log-info 获取日志状态信息。
epl | export-log 导出日志。
al | archive-log 存档导出的日志。
cl | clear-log 清除日志。
#常用选项:
/{r | remote}:VALUE #如果指定,则在远程计算机上运行该命令。VALUE 是远程计算机名称。
/im 和 /um #选项不支持远程操作。
/{u | username}:VALUE #指定一个不同的用户以登录到远程计算机。VALUE 是 domainuser 或 user 形式的用户名。只有在指定 /r 选项时
/{p | password}:VALUE #指定的用户密码。如果未指定,或者 VALUE 为 "*",则会提示用户输入密码。只有在指定 /u 选项时才适用。
/{a | authentication}:[Default|Negotiate|Kerberos|NTLM] #用于连接到远程计算机的身份验证类型。默认值为 Negotiate。
/{uni | unicode}:[true|false] #使用 Unicode 显示输出。如果为 true,则使用 Unicode 显示输出。
实际示例:
列出所有已注册的事件日志
| 1 |
|
将System日志导出到文件C:\System_log.evtx
| 2 |
|
导出远程桌面日志到C:\rdp_log.evtx
| 3 |
|
在应用日志中的最后100个条目中搜索ID为1704的事件
| 4 |
|
将日志中的ID为506和507的内容写到txt中:
| 5 | os.system(r'wevtutil qe System /rd:true /f:text /q:*[system/eventid=506 and 507]" > c:/System.txt') |
扫一扫
7752
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
