Поделиться через


wevtutil

Позволяет получать сведения о журналах событий и издателях. Эту команду можно также использовать для установки и удаления манифестов событий, выполнения запросов и экспорта, архивации и очистки журналов.

Синтаксис

wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] 
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>] 
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]

Параметры

Параметр Описание
{el | enum-logs} Отображает имена всех журналов.
{gl | get-log} <> Имя журнала [/f:<Format>] Отображает сведения о конфигурации для указанного журнала, который включает или нет, текущий максимальный размер журнала и путь к файлу, в котором хранится журнал.
{sl | set-log} <> Имя журнала [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:MaxSize>] [/l<:<Level>] [/k:Keywords>] [/ca:<Channel>] [/c:<<Config>] Изменяет конфигурацию указанного журнала.
{ep | enum-publishers} Отображает издателей событий на локальном компьютере.
{gp | get-publisher} <Имя> издателя [/ge:Metadata>] [/gm:<<Message>] [/f:<Format>]] Отображает сведения о конфигурации для указанного издателя событий.
{im | install-manifest} <Манифеста>
[/{rf | resourceFilePath}:value]
[/{mf | messageFilePath}:value]
[/{pf | parameterFilePath}:value]
Устанавливает издатели событий и журналы из манифеста. Дополнительные сведения о манифестах событий и использовании этого параметра см. в пакете SDK журнала событий Windows на веб-сайте Microsoft Developers Network (https://msdn.microsoft.comMSDN). Значением является полный путь к упоминание файлам.
{um | uninstall-manifest} <Манифеста> Удаляет все издатели и журналы из манифеста. Дополнительные сведения о манифестах событий и использовании этого параметра см. в пакете SDK журнала событий Windows на веб-сайте Microsoft Developers Network (https://msdn.microsoft.comMSDN).
{qe | query-events} <Путь> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd<:Direction>] [/f:Format>] [/l<:<Locale>] [/c:Count>] [/e:<<Element>] Считывает события из журнала событий из файла журнала или с помощью структурированного запроса. По умолчанию вы предоставляете имя журнала для <Path>. Однако если вы используете параметр /lf , <Путь> должен быть путем к файлу журнала. Если вы используете параметр /sq , <Путь> должен быть путем к файлу, который содержит структурированный запрос.
{gli | get-loginfo} <> Имя журнала [/lf:<Logfile>] Отображает сведения о состоянии журнала событий или файла журнала. Если используется параметр /lf, <имя журнала> — это путь к файлу журнала. Чтобы получить список имен журналов, можно запустить wevtutil el .
{epl | export-log} <Path><Exportfile> [/lf:Logfile>] [/sq:<<Structquery>] [/q:<Query>] [/ow:<Overwrite>] Экспортирует события из журнала событий из файла журнала или с помощью структурированного запроса в указанный файл. По умолчанию вы предоставляете имя журнала для <Path>. Однако если вы используете параметр /lf , <Путь> должен быть путем к файлу журнала. Если вы используете параметр /sq , <Путь> должен быть путь к файлу, который содержит структурированный запрос. <Exportfile> — это путь к файлу, в котором будут храниться экспортированные события.
{al | archive-log} <Logpath> [/l:<Locale>] Архивирует указанный файл журнала в автономном формате. Создается подкаталог с именем языкового стандарта, а все сведения о языковом стандарте сохраняются в этом подкаталоге. После создания каталога и файла журнала с помощью wevtutil al события в файле можно считывать, установлен ли издатель.
{cl | clear-log} <> Имя журнала [/bu:<Backup>] Очищает события из указанного журнала событий. Параметр /bu можно использовать для резервного копирования очищаемых событий.

Параметры

Оператор сравнения Описание
/f:<Format> Указывает, что выходные данные должны быть XML или текстовым форматом. Если <формат> — XML, выходные данные отображаются в формате XML. Если <формат> является текстом, выходные данные отображаются без XML-тегов. Значение по умолчанию - Text.
/e:<Enabled> Включает или отключает журнал. <Включено> значение true или false.
/i:<Isolation> Задает режим изоляции журнала. <Изоляция> может быть системой, приложением или пользовательским. Режим изоляции журнала определяет, предоставляет ли журнал общий доступ к сеансу с другими журналами в том же классе изоляции. При указании системной изоляции целевой журнал будет предоставлять по крайней мере разрешения на запись в системный журнал. При указании изоляции приложений целевой журнал будет предоставлять по крайней мере разрешения на запись в журнал приложения. При указании пользовательской изоляции необходимо также указать дескриптор безопасности с помощью параметра /ca .
/lfn:<Logpath> Определяет имя файла журнала. <Logpath> — это полный путь к файлу, в котором служба журнала событий хранит события для этого журнала.
/rt:<Retention> Задает режим хранения журнала. <Хранение> может иметь значение true или false. Режим хранения журнала определяет поведение службы журнала событий, когда журнал достигает максимального размера. Если журнал событий достигает максимального размера и режим хранения журнала имеет значение true, существующие события сохраняются, а входящие события удаляются карта. Если режим хранения журнала имеет значение false, входящие события перезаписывают самые старые события в журнале.
/ab:<Auto> Указывает политику автоматического резервного копирования журнала. <Авто> может быть true или false. Если это значение равно true, журнал будет автоматически резервирован при достижении максимального размера. Если это значение имеет значение true, необходимо также задать значение true (указанное с параметром /rt ).
/ms:<MaxSize> Задает максимальный размер журнала в байтах. Минимальный размер журнала равен 1048576 байтам (1024 КБ), а файлы журналов всегда равны 64 КБ, поэтому указанное значение будет округляться соответствующим образом.
/l:<Level> Определяет фильтр уровня журнала. <Уровень> может быть любым допустимым значением уровня. Этот параметр применим только к журналам с выделенным сеансом. Фильтр уровня можно удалить, задав <значение> 0.
/k:<Keywords> Задает фильтр ключевое слово журнала. <Ключевые> слова могут быть любой допустимой 64-разрядной маской ключевое слово. Этот параметр применим только к журналам с выделенным сеансом.
/ca:<Channel> Задает разрешение на доступ для журнала событий. <Канал> — это дескриптор безопасности, использующий язык определения дескриптора безопасности (SDDL). Дополнительные сведения о формате SDDL см. на веб-сайтеhttps://msdn.microsoft.com Microsoft Developers Network (MSDN).
/c:<Config> Указывает путь к файлу конфигурации. Этот параметр приведет к чтению свойств журнала из файла конфигурации, определенного в <конфигурации>. Если этот параметр используется, не следует указывать <параметр Logname> . Имя журнала будет считываться из файла конфигурации.
/ge:<Metadata> Возвращает сведения о метаданных для событий, которые могут быть вызваны этим издателем. <Метаданные> могут быть истинными или ложными.
/gm:<Message> Отображает фактическое сообщение вместо числового идентификатора сообщения. <Сообщение> может быть true или false.
/lf:<Logfile> Указывает, что события должны считываться из журнала или из файла журнала. <> Файл журнала может быть true или false. Если задано значение true, параметр команды — это путь к файлу журнала.
/sq:<Structquery> Указывает, что события должны быть получены со структурированным запросом. <Structquery> может быть true или false. Если значение true, <Путь> — это путь к файлу, который содержит структурированный запрос.
/q:<Query> Определяет запрос XPath для фильтрации событий, которые считываются или экспортируются. Если этот параметр не указан, все события будут возвращены или экспортированы. Этот параметр недоступен, если значение /sq имеет значение true.
/bm:<Bookmark> Указывает путь к файлу, который содержит закладку из предыдущего запроса.
/sbm:<Savebm> Указывает путь к файлу, который используется для сохранения закладки этого запроса. Расширение имени файла должно быть .xml.
/rd:<Direction> Указывает направление, в котором считываются события. <Направление> может быть true или false. Если задано значение true, сначала возвращаются последние события.
/l:<Locale> Определяет строку языкового стандарта, используемую для печати текста события в определенном языковом стандарте. Доступно только при печати событий в текстовом формате с помощью параметра /f .
/c:<Count> Задает максимальное количество событий для чтения.
/e:<Element> Включает корневой элемент при отображении событий в XML. <Элемент> — это строка, которую требуется в корневом элементе. Например, /e:root приведет к XML,который содержит корневой каталог пары <корневого> элемента.
/ow:<Overwrite> Указывает, что файл экспорта должен быть перезаписан. <Перезапись> может быть true или false. Если значение true, и файл экспорта, указанный в <exportfile> , уже существует, он будет перезаписан без подтверждения.
/bu:<Backup> Указывает путь к файлу, в котором будут храниться очищенные события. Включите расширение EVTX в имя файла резервной копии.
/r:<Remote> Выполняет команду на удаленном компьютере. <Удаленный> — это имя удаленного компьютера. Параметры im и um не поддерживают удаленную операцию.
/u:<Username> Указывает другого пользователя для входа на удаленный компьютер. <Имя> пользователя — это имя пользователя в домене формы\пользователь или пользователь. Этот параметр применим только при указании параметра /r .
/p:<Password> Указывает пароль для пользователя. Если используется параметр /u, и этот параметр не указан или <пароль> *, пользователю будет предложено ввести пароль. Этот параметр применим только при указании параметра /u .
/a:<Auth> Определяет тип проверки подлинности для подключения к удаленному компьютеру. <> Проверка подлинности может быть по умолчанию, согласование, Kerberos или NTLM. Значение по умолчанию — "Согласование".
/uni:<Юникод> Отображает выходные данные в Юникоде. <Юникод> может иметь значение true или false. Если <Юникод> имеет значение true, выходные данные будут использоваться в Юникоде.

Замечания

  • Использование файла конфигурации с параметром sl

    Файл конфигурации — это XML-файл с тем же форматом, что и выходные данные wevtutil gl <Logname> /f:xml. Чтобы открыть формат файла конфигурации, который включает хранение, включает автоматическое восстановление и задает максимальный размер журнала в журнале приложений:

    <?xml version=1.0 encoding=UTF-8?>
    <channel name=Application isolation=Application
    xmlns=https://schemas.microsoft.com/win/2004/08/events>
    <logging>
    <retention>true</retention>
    <autoBackup>true</autoBackup>
    <maxSize>9000000</maxSize>
    </logging>
    <publishing>
    </publishing>
    </channel>
    

Примеры

Список имен всех журналов:

wevtutil el

Отображение сведений о конфигурации журнала системы на локальном компьютере в формате XML:

wevtutil gl System /f:xml

Используйте файл конфигурации для задания атрибутов журнала событий (см. примечания для примера файла конфигурации):

wevtutil sl /c:config.xml

Отображение сведений о издателе событий Microsoft-Windows-Eventlog, включая метаданные о событиях, которые издатель может вызвать:

wevtutil gp Microsoft-Windows-Eventlog /ge:true

Установите издатели и журналы из файла манифеста myManifest.xml:

wevtutil im myManifest.xml

Удалите издателей и журналы из файла манифеста myManifest.xml:

wevtutil um myManifest.xml

Отображение трех последних событий из журнала приложений в текстовом формате:

wevtutil qe Application /c:3 /rd:true /f:text

Отображение состояния журнала приложений:

wevtutil gli Application

Экспорт событий из системного журнала в C:\backup\system0506.evtx:

wevtutil epl System C:\backup\system0506.evtx

Удалите все события из журнала приложений после сохранения их в C:\admin\backups\a10306.evtx:

wevtutil cl Application /bu:C:\admin\backups\a10306.evtx

Архивируйте указанный файл журнала (EVTX) в автономном формате. Создается подкаталог (LocaleMetaData), а все сведения, относящиеся к языковому стандарту, сохраняются в этом подкаталоге:

wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us