wevtutil
Позволяет получать сведения о журналах событий и издателях. Эту команду можно также использовать для установки и удаления манифестов событий, выполнения запросов и экспорта, архивации и очистки журналов.
Синтаксис
wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]]
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]
Параметры
Параметр | Описание |
---|---|
{el | enum-logs} | Отображает имена всех журналов. |
{gl | get-log} <> Имя журнала [/f:<Format>] | Отображает сведения о конфигурации для указанного журнала, который включает или нет, текущий максимальный размер журнала и путь к файлу, в котором хранится журнал. |
{sl | set-log} <> Имя журнала [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:MaxSize>] [/l<:<Level>] [/k:Keywords>] [/ca:<Channel>] [/c:<<Config>] | Изменяет конфигурацию указанного журнала. |
{ep | enum-publishers} | Отображает издателей событий на локальном компьютере. |
{gp | get-publisher} <Имя> издателя [/ge:Metadata>] [/gm:<<Message>] [/f:<Format>]] | Отображает сведения о конфигурации для указанного издателя событий. |
{im | install-manifest} <Манифеста> [/{rf | resourceFilePath}:value] [/{mf | messageFilePath}:value] [/{pf | parameterFilePath}:value] |
Устанавливает издатели событий и журналы из манифеста. Дополнительные сведения о манифестах событий и использовании этого параметра см. в пакете SDK журнала событий Windows на веб-сайте Microsoft Developers Network (https://msdn.microsoft.comMSDN). Значением является полный путь к упоминание файлам. |
{um | uninstall-manifest} <Манифеста> | Удаляет все издатели и журналы из манифеста. Дополнительные сведения о манифестах событий и использовании этого параметра см. в пакете SDK журнала событий Windows на веб-сайте Microsoft Developers Network (https://msdn.microsoft.comMSDN). |
{qe | query-events} <Путь> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd<:Direction>] [/f:Format>] [/l<:<Locale>] [/c:Count>] [/e:<<Element>] | Считывает события из журнала событий из файла журнала или с помощью структурированного запроса. По умолчанию вы предоставляете имя журнала для <Path>. Однако если вы используете параметр /lf , <Путь> должен быть путем к файлу журнала. Если вы используете параметр /sq , <Путь> должен быть путем к файлу, который содержит структурированный запрос. |
{gli | get-loginfo} <> Имя журнала [/lf:<Logfile>] | Отображает сведения о состоянии журнала событий или файла журнала. Если используется параметр /lf, <имя журнала> — это путь к файлу журнала. Чтобы получить список имен журналов, можно запустить wevtutil el . |
{epl | export-log} <Path><Exportfile> [/lf:Logfile>] [/sq:<<Structquery>] [/q:<Query>] [/ow:<Overwrite>] | Экспортирует события из журнала событий из файла журнала или с помощью структурированного запроса в указанный файл. По умолчанию вы предоставляете имя журнала для <Path>. Однако если вы используете параметр /lf , <Путь> должен быть путем к файлу журнала. Если вы используете параметр /sq , <Путь> должен быть путь к файлу, который содержит структурированный запрос. <Exportfile> — это путь к файлу, в котором будут храниться экспортированные события. |
{al | archive-log} <Logpath> [/l:<Locale>] | Архивирует указанный файл журнала в автономном формате. Создается подкаталог с именем языкового стандарта, а все сведения о языковом стандарте сохраняются в этом подкаталоге. После создания каталога и файла журнала с помощью wevtutil al события в файле можно считывать, установлен ли издатель. |
{cl | clear-log} <> Имя журнала [/bu:<Backup>] | Очищает события из указанного журнала событий. Параметр /bu можно использовать для резервного копирования очищаемых событий. |
Параметры
Оператор сравнения | Описание |
---|---|
/f:<Format> | Указывает, что выходные данные должны быть XML или текстовым форматом. Если <формат> — XML, выходные данные отображаются в формате XML. Если <формат> является текстом, выходные данные отображаются без XML-тегов. Значение по умолчанию - Text. |
/e:<Enabled> | Включает или отключает журнал. <Включено> значение true или false. |
/i:<Isolation> | Задает режим изоляции журнала. <Изоляция> может быть системой, приложением или пользовательским. Режим изоляции журнала определяет, предоставляет ли журнал общий доступ к сеансу с другими журналами в том же классе изоляции. При указании системной изоляции целевой журнал будет предоставлять по крайней мере разрешения на запись в системный журнал. При указании изоляции приложений целевой журнал будет предоставлять по крайней мере разрешения на запись в журнал приложения. При указании пользовательской изоляции необходимо также указать дескриптор безопасности с помощью параметра /ca . |
/lfn:<Logpath> | Определяет имя файла журнала. <Logpath> — это полный путь к файлу, в котором служба журнала событий хранит события для этого журнала. |
/rt:<Retention> | Задает режим хранения журнала. <Хранение> может иметь значение true или false. Режим хранения журнала определяет поведение службы журнала событий, когда журнал достигает максимального размера. Если журнал событий достигает максимального размера и режим хранения журнала имеет значение true, существующие события сохраняются, а входящие события удаляются карта. Если режим хранения журнала имеет значение false, входящие события перезаписывают самые старые события в журнале. |
/ab:<Auto> | Указывает политику автоматического резервного копирования журнала. <Авто> может быть true или false. Если это значение равно true, журнал будет автоматически резервирован при достижении максимального размера. Если это значение имеет значение true, необходимо также задать значение true (указанное с параметром /rt ). |
/ms:<MaxSize> | Задает максимальный размер журнала в байтах. Минимальный размер журнала равен 1048576 байтам (1024 КБ), а файлы журналов всегда равны 64 КБ, поэтому указанное значение будет округляться соответствующим образом. |
/l:<Level> | Определяет фильтр уровня журнала. <Уровень> может быть любым допустимым значением уровня. Этот параметр применим только к журналам с выделенным сеансом. Фильтр уровня можно удалить, задав <значение> 0. |
/k:<Keywords> | Задает фильтр ключевое слово журнала. <Ключевые> слова могут быть любой допустимой 64-разрядной маской ключевое слово. Этот параметр применим только к журналам с выделенным сеансом. |
/ca:<Channel> | Задает разрешение на доступ для журнала событий. <Канал> — это дескриптор безопасности, использующий язык определения дескриптора безопасности (SDDL). Дополнительные сведения о формате SDDL см. на веб-сайтеhttps://msdn.microsoft.com Microsoft Developers Network (MSDN). |
/c:<Config> | Указывает путь к файлу конфигурации. Этот параметр приведет к чтению свойств журнала из файла конфигурации, определенного в <конфигурации>. Если этот параметр используется, не следует указывать <параметр Logname> . Имя журнала будет считываться из файла конфигурации. |
/ge:<Metadata> | Возвращает сведения о метаданных для событий, которые могут быть вызваны этим издателем. <Метаданные> могут быть истинными или ложными. |
/gm:<Message> | Отображает фактическое сообщение вместо числового идентификатора сообщения. <Сообщение> может быть true или false. |
/lf:<Logfile> | Указывает, что события должны считываться из журнала или из файла журнала. <> Файл журнала может быть true или false. Если задано значение true, параметр команды — это путь к файлу журнала. |
/sq:<Structquery> | Указывает, что события должны быть получены со структурированным запросом. <Structquery> может быть true или false. Если значение true, <Путь> — это путь к файлу, который содержит структурированный запрос. |
/q:<Query> | Определяет запрос XPath для фильтрации событий, которые считываются или экспортируются. Если этот параметр не указан, все события будут возвращены или экспортированы. Этот параметр недоступен, если значение /sq имеет значение true. |
/bm:<Bookmark> | Указывает путь к файлу, который содержит закладку из предыдущего запроса. |
/sbm:<Savebm> | Указывает путь к файлу, который используется для сохранения закладки этого запроса. Расширение имени файла должно быть .xml. |
/rd:<Direction> | Указывает направление, в котором считываются события. <Направление> может быть true или false. Если задано значение true, сначала возвращаются последние события. |
/l:<Locale> | Определяет строку языкового стандарта, используемую для печати текста события в определенном языковом стандарте. Доступно только при печати событий в текстовом формате с помощью параметра /f . |
/c:<Count> | Задает максимальное количество событий для чтения. |
/e:<Element> | Включает корневой элемент при отображении событий в XML. <Элемент> — это строка, которую требуется в корневом элементе. Например, /e:root приведет к XML,который содержит корневой каталог пары <корневого> элемента. |
/ow:<Overwrite> | Указывает, что файл экспорта должен быть перезаписан. <Перезапись> может быть true или false. Если значение true, и файл экспорта, указанный в <exportfile> , уже существует, он будет перезаписан без подтверждения. |
/bu:<Backup> | Указывает путь к файлу, в котором будут храниться очищенные события. Включите расширение EVTX в имя файла резервной копии. |
/r:<Remote> | Выполняет команду на удаленном компьютере. <Удаленный> — это имя удаленного компьютера. Параметры im и um не поддерживают удаленную операцию. |
/u:<Username> | Указывает другого пользователя для входа на удаленный компьютер. <Имя> пользователя — это имя пользователя в домене формы\пользователь или пользователь. Этот параметр применим только при указании параметра /r . |
/p:<Password> | Указывает пароль для пользователя. Если используется параметр /u, и этот параметр не указан или <пароль> *, пользователю будет предложено ввести пароль. Этот параметр применим только при указании параметра /u . |
/a:<Auth> | Определяет тип проверки подлинности для подключения к удаленному компьютеру. <> Проверка подлинности может быть по умолчанию, согласование, Kerberos или NTLM. Значение по умолчанию — "Согласование". |
/uni:<Юникод> | Отображает выходные данные в Юникоде. <Юникод> может иметь значение true или false. Если <Юникод> имеет значение true, выходные данные будут использоваться в Юникоде. |
Замечания
Использование файла конфигурации с параметром sl
Файл конфигурации — это XML-файл с тем же форматом, что и выходные данные wevtutil gl <Logname> /f:xml. Чтобы открыть формат файла конфигурации, который включает хранение, включает автоматическое восстановление и задает максимальный размер журнала в журнале приложений:
<?xml version=1.0 encoding=UTF-8?> <channel name=Application isolation=Application xmlns=https://schemas.microsoft.com/win/2004/08/events> <logging> <retention>true</retention> <autoBackup>true</autoBackup> <maxSize>9000000</maxSize> </logging> <publishing> </publishing> </channel>
Примеры
Список имен всех журналов:
wevtutil el
Отображение сведений о конфигурации журнала системы на локальном компьютере в формате XML:
wevtutil gl System /f:xml
Используйте файл конфигурации для задания атрибутов журнала событий (см. примечания для примера файла конфигурации):
wevtutil sl /c:config.xml
Отображение сведений о издателе событий Microsoft-Windows-Eventlog, включая метаданные о событиях, которые издатель может вызвать:
wevtutil gp Microsoft-Windows-Eventlog /ge:true
Установите издатели и журналы из файла манифеста myManifest.xml:
wevtutil im myManifest.xml
Удалите издателей и журналы из файла манифеста myManifest.xml:
wevtutil um myManifest.xml
Отображение трех последних событий из журнала приложений в текстовом формате:
wevtutil qe Application /c:3 /rd:true /f:text
Отображение состояния журнала приложений:
wevtutil gli Application
Экспорт событий из системного журнала в C:\backup\system0506.evtx:
wevtutil epl System C:\backup\system0506.evtx
Удалите все события из журнала приложений после сохранения их в C:\admin\backups\a10306.evtx:
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
Архивируйте указанный файл журнала (EVTX) в автономном формате. Создается подкаталог (LocaleMetaData), а все сведения, относящиеся к языковому стандарту, сохраняются в этом подкаталоге:
wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us