wevtutil
Permet de récupérer des informations sur les journaux des événements et les serveurs de publication. Vous pouvez également utiliser cette commande pour installer et désinstaller les fichiers manifeste des événements, pour exécuter des requêtes et pour exporter, archiver et vider les journaux.
Syntaxe
wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]]
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]
Paramètres
Paramètre | Description |
---|---|
{el | enum-logs} | Affiche les noms de tous les journaux. |
{gl | get-log} <Logname> [/f:<Format>] | Affiche les informations de configuration du journal spécifié, qui indiquent si le journal est activé ou non, la limite de taille maximale actuelle du journal et le chemin du fichier où le journal est stocké. |
{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>] | Modifie la configuration du journal spécifié. |
{ep | enum-publishers} | Affiche les éditeurs d’événements sur l’ordinateur local. |
{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] | Affiche les informations de configuration de l’éditeur d’événements spécifié. |
{im | install-manifest} <Manifest> [/{rf | resourceFilePath}:value] [/{mf | messageFilePath}:value] [/{pf | parameterFilePath}:value] |
Installe les journaux et éditeurs d’événements à partir d’un manifeste. Pour plus d’informations sur les manifestes d’événements et sur l’utilisation de ce paramètre, consultez le SDK du journal des événements Windows sur le site web MSDN (Microsoft Developers Network) (https://msdn.microsoft.com). value représente le chemin complet du fichier mentionné. |
{um | uninstall-manifest} <Manifest> | Désinstalle tous les journaux et éditeurs et journaux d’un manifeste. Pour plus d’informations sur les manifestes d’événements et sur l’utilisation de ce paramètre, consultez le SDK du journal des événements Windows sur le site web MSDN (Microsoft Developers Network) (https://msdn.microsoft.com). |
{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>] | Lit les événements à partir d’un journal des événements, d’un fichier journal ou en utilisant une requête structurée. Par défaut, vous fournissez un nom de journal pour <Path>. Toutefois, si vous utilisez l’option /lf, <Path> doit être le chemin d’un fichier journal. Si vous utilisez le paramètre /sq, <Path> doit être le chemin d’un fichier qui contient une requête structurée. |
{gli | get-loginfo} <Logname> [/lf:<Logfile>] | Affiche des informations d’état sur un journal d’événements ou un fichier journal. Si l’option /lf est utilisée, <Logname> est le chemin d’un fichier journal. Vous pouvez exécuter wevtutil el pour obtenir une liste de noms de journaux. |
{epl | export-log} <Path><Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>] | Exporte des événements à partir d’un journal d’événements, d’un fichier journal ou en utilisant une requête structurée vers le fichier spécifié. Par défaut, vous fournissez un nom de journal pour <Path>. Toutefois, si vous utilisez l’option /lf, <Path> doit être le chemin d’un fichier journal. Si vous utilisez l’option /sq, <Path> doit être le chemin d’un fichier qui contient une requête structurée. <Exportfile> est le chemin du fichier dans lequel les événements exportés seront stockés. |
{al | archive-log} <Logpath> [/l:<Locale>] | Archive le fichier journal spécifié dans un format autonome. Un sous-répertoire portant le nom des paramètres régionaux est créé et toutes les informations propres aux paramètres régionaux sont enregistrées dans ce sous-répertoire. Une fois le répertoire et le fichier journal créés en exécutant wevtutil al, les événements contenus dans fichier peuvent être lus, que l’éditeur soit installé ou non. |
{cl | clear-log} <Logname> [/bu:<Backup>] | Efface les événements du journal des événements spécifié. L’option /bu peut être utilisée pour sauvegarder les événements effacés. |
Options
Option | Description |
---|---|
/f:<Format> | Spécifie que la sortie doit être au format XML ou texte. Si <Format> est XML, la sortie s’affiche au format XML. Si <Format> est Text, la sortie s’affiche sans balises XML. La valeur par défaut est Text. |
/e:<Enabled> | Active ou désactive un journal. <Enabled> peut être true ou false. |
/i:<Isolation> | Définit le mode d’isolation des journaux. <Isolation> peut être system, application ou custom. Le mode d’isolation d’un journal détermine si un journal partage une session avec d’autres journaux dans la même classe d’isolation. Si vous spécifiez l’isolation system, le journal cible partage au moins les autorisations d’écriture avec le journal système. Si vous spécifiez l’isolation application, le journal cible partage au moins les autorisations d’écriture avec le journal des applications. Si vous spécifiez l’isolation custom, vous devez également fournir un descripteur de sécurité en utilisant l’option /ca. |
/lfn:<Logpath> | Définit le nom du fichier journal. <Logpath> est le chemin complet du fichier dans lequel le service Journal des événements stocke les événements pour ce journal. |
/rt:<Retention> | Définit le mode de conservation du journal. <Retention> peut être true ou false. Le mode de conservation du journal détermine le comportement du service Journal des événements quand un journal atteint sa taille maximale. Si un journal des événements atteint sa taille maximale et que le mode de conservation du journal est true, les événements existants sont conservés et les événements entrants sont ignorés. Si le mode de conservation du journal est false, les événements entrants remplacent les événements les plus anciens dans le journal. |
/ab:<Auto> | Spécifie la stratégie de sauvegarde automatique des journaux. <Auto> peut être true ou false. Si cette valeur est true, le journal est sauvegardé automatiquement quand il atteint la taille maximale. Si cette valeur est true, la conservation (spécifiée avec l’option /rt) doit également être définie sur true. |
/ms:<MaxSize> | Définit la taille maximale du journal en octets. La taille minimale du journal est de 1 048 576 octets (1 024 Ko) et les fichiers journaux sont toujours des multiples de 64 Ko. La valeur que vous entrez est donc arrondie en conséquence. |
/l:<Level> | Définit le filtre de niveau du journal. <Level> peut être n’importe quelle valeur de niveau valide. Cette option s’applique uniquement aux journaux avec une session dédiée. Vous pouvez supprimer un filtre de niveau en définissant <Level> sur 0. |
/k:<Keywords> | Spécifie le filtre de mots clés du journal. <Keywords> peut être n’importe quel masque de mots clés 64 bits valide. Cette option s’applique uniquement aux journaux avec une session dédiée. |
/ca:<Channel> | Définit l’autorisation d’accès pour un journal des événements. <Channel> est un descripteur de sécurité qui utilise le langage SDDL (Security Descriptor Definition Language). Pour plus d’informations sur le format SDDL, consultez le site web MSDN (Microsoft Developers Network) (https://msdn.microsoft.com). |
/c:<Config> | Spécifie le chemin d’un fichier de configuration. Cette option entraîne la lecture des propriétés du journal à partir du fichier de configuration défini dans <Config>. Si vous utilisez cette option, vous ne devez pas spécifier de paramètre <Logname>. Le nom du journal est lu à partir du fichier de configuration. |
/ge:<Metadata> | Obtient des informations de métadonnées pour les événements qui peuvent être déclenchés par cet éditeur. <Metadata> peut être true ou false. |
/gm:<Message> | Affiche le message réel au lieu de l’ID de message numérique. <Message> peut être true ou false. |
/lf:<Logfile> | Spécifie que les événements doivent être lus à partir d’un journal ou d’un fichier journal. <Logfile> peut être true ou false. Si la valeur est true, le paramètre de la commande est le chemin d’un fichier journal. |
/sq:<Structquery> | Spécifie que les événements doivent être obtenus avec une requête structurée. <Structquery> peut être true ou false. Si la valeur est true, <Path> est le chemin d’un fichier qui contient une requête structurée. |
/q:<Query> | Définit la requête XPath pour filtrer les événements lus ou exportés. Si cette option n’est pas spécifiée, tous les événements sont retournés ou exportés. Cette option n’est pas disponible quand /sq a la valeur true. |
/bm:<Bookmark> | Spécifie le chemin d’un fichier qui contient un signet d’une requête précédente. |
/sbm:<Savebm> | Spécifie le chemin d’un fichier utilisé pour enregistrer un signet de cette requête. L’extension de nom de fichier doit être .xml. |
/rd:<Direction> | Spécifie le sens dans lequel les événements sont lus. <Direction> peut être true ou false. Si la valeur est true, les événements les plus récents sont retournés en premier. |
/l:<Locale> | Définit une chaîne de paramètres régionaux utilisée pour afficher le texte de l’événement dans des paramètres régionaux spécifiques. Disponible uniquement lors de l’affichage d’événements au format texte en utilisant l’option /f. |
/c:<Count> | Définit le nombre maximal d’événements à lire. |
/e:<Element> | Inclut un élément racine lors de l’affichage d’événements au format XML. <Element> est la chaîne souhaitée dans l’élément racine. Par exemple, /e:root générerait un XML contenant la paire d’éléments racine <root>. |
/ow:<Overwrite> | Spécifie que le fichier d’exportation doit être remplacé. <Overwrite> peut être true ou false. Si la valeur est true et que le fichier d’exportation spécifié dans <Exportfile> existe déjà, il est remplacé sans confirmation. |
/bu:<Backup> | Spécifie le chemin d’un fichier dans lequel les événements effacés seront stockés. Incluez l’extension .evtx dans le nom du fichier de sauvegarde. |
/r:<Remote> | Exécute la commande sur un ordinateur distant. <Remote> est le nom de l’ordinateur distant. Les paramètres im et um ne prennent pas en charge l’opération à distance. |
/u:<Username> | Spécifie un autre utilisateur pour se connecter à un ordinateur distant. <Username> est un nom d’utilisateur sous la forme domaine\utilisateur ou utilisateur. Cette option est uniquement applicable quand l’option /r est spécifiée. |
/p:<Password> | Spécifie le mot de passe de l’utilisateur. Si l’option /u est utilisée et que cette option n’est pas spécifiée ou que <Password> est *, l’utilisateur est invité à entrer un mot de passe. Cette option est uniquement applicable quand l’option /u est spécifiée. |
/a:<Auth> | Définit le type d’authentification pour la connexion à un ordinateur distant. <Auth> peut être Default, Negotiate, Kerberos ou NTLM. La valeur par défaut est Negotiate. |
/uni:<Unicode> | Affiche la sortie au format Unicode. <Unicode> peut être true ou false. Si <Unicode> a la valeur true, la sortie est au format Unicode. |
Notes
Utilisation d’un fichier de configuration avec le paramètre sl
Le fichier de configuration est un fichier XML au même format que la sortie de wevtutil gl <Logname> /f:xml. Pour afficher le format d’un fichier de configuration qui active la conservation, active la sauvegarde automatique et définit la taille maximale du journal des applications :
<?xml version=1.0 encoding=UTF-8?> <channel name=Application isolation=Application xmlns=https://schemas.microsoft.com/win/2004/08/events> <logging> <retention>true</retention> <autoBackup>true</autoBackup> <maxSize>9000000</maxSize> </logging> <publishing> </publishing> </channel>
Exemples
Lister les noms de tous les journaux :
wevtutil el
Afficher des informations de configuration sur le journal système sur l’ordinateur local au format XML :
wevtutil gl System /f:xml
Utiliser un fichier de configuration pour définir les attributs du journal des événements (voir Remarques pour obtenir un exemple de fichier de configuration) :
wevtutil sl /c:config.xml
Afficher des informations sur l’éditeur d’événements Microsoft-Windows-Eventlog, y compris les métadonnées sur les événements que l’éditeur peut déclencher :
wevtutil gp Microsoft-Windows-Eventlog /ge:true
Installer les éditeurs et les journaux à partir du fichier manifeste myManifest.xml :
wevtutil im myManifest.xml
Désinstaller les éditeurs et les journaux du fichier manifeste myManifest.xml :
wevtutil um myManifest.xml
Afficher les trois événements les plus récents du journal des applications au format texte :
wevtutil qe Application /c:3 /rd:true /f:text
Afficher l’état du journal des applications :
wevtutil gli Application
Exporter des événements du journal système vers C:\backup\system0506.evtx :
wevtutil epl System C:\backup\system0506.evtx
Effacer tous les événements du journal des applications après les avoir enregistrés dans C:\admin\backups\a10306.evtx :
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
Archiver le fichier journal spécifié (.evtx) dans un format autonome. Un sous-répertoire (LocaleMetaData) est créé et toutes les informations propres aux paramètres régionaux sont enregistrées dans ce sous-répertoire :
wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us