使你能够检索有关事件日志和发布者的信息。 还可以使用此命令安装和卸载事件清单、运行查询以及导出、存档和清除日志。
语法
wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]]
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]
参数
| 参数 | DESCRIPTION |
|---|---|
| {el | enum-logs} | 显示所有日志的名称。 |
| {gl | get-log} <Logname> [/f:<Format>] | 显示指定日志的配置信息,包括是否启用日志、日志的当前最大大小限制以及存储日志的文件的路径。 |
| {sl | set-log} <Logname> [/e:Enabled<] [/i:>Isolation<] [/lfn:><Logpath>] [/rt:Retention<] [/ab:><Auto>] [/ms:MaxSize<] [/l:><Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>] | 修改指定日志的配置。 |
| {ep | enum-publishers} | 在本地计算机上显示事件发布者。 |
| {gp | get-publisher} <Publishername> [/ge:Metadata<] [/gm:><Message>] [/f:<Format>]] | 显示指定事件发布者的配置信息。 |
| {im | install-manifest} <清单> [/{rf | resourceFilePath}:value] [/{mf | messageFilePath}:value] [/{pf | parameterFilePath}:value] |
从清单安装事件发布者和日志。 有关事件清单和使用此参数的详细信息,请参阅Microsoft开发人员网络 (MSDN) 网站 (https://msdn.microsoft.comMSDN) 网站上的 Windows 事件日志 SDK。 该值是所提及文件的完整路径。 |
| {um | uninstall-manifest} <清单> | 从清单中卸载所有发布者和日志。 有关事件清单和使用此参数的详细信息,请参阅Microsoft开发人员网络 (MSDN) 网站 (https://msdn.microsoft.comMSDN) 网站上的 Windows 事件日志 SDK。 |
| {qe | query-events} <路径> [/lf:<Logfile>] [/sq:<Structquery>] [/q:Query<] [/bm:><Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>] | 从事件日志、日志文件或使用结构化查询读取事件。 默认情况下,为 Path< 提供日志名称>。 但是,如果使用 /lf 选项,则 <Path> 必须是日志文件的路径。 如果使用 /sq 参数, <路径> 必须是包含结构化查询的文件的路径。 |
| {gli | get-loginfo} <Logname> [/lf:<Logfile>] | 显示有关事件日志或日志文件的状态信息。 如果使用 /lf 选项, <则 Logname> 是日志文件的路径。 可以运行 wevtutil el 来获取日志名称列表。 |
| {epl | export-log} <路径><Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>] | 将事件从事件日志、日志文件或使用结构化查询导出到指定文件。 默认情况下,为 Path< 提供日志名称>。 但是,如果使用 /lf 选项,则 <Path> 必须是日志文件的路径。 如果使用 /sq 选项, <路径> 必须是包含结构化查询的文件的路径。 <Exportfile> 是存储导出事件的文件的路径。 |
| {al | archive-log} <Logpath> [/l:<Locale>] | 以独立格式存档指定的日志文件。 创建具有区域设置名称的子目录,并且所有特定于区域设置的信息都保存在该子目录中。 通过运行 wevtutil al 创建目录和日志文件后,可以读取文件中的事件是否安装发布服务器。 |
| {cl | clear-log} <Logname> [/bu:<Backup>] | 从指定的事件日志中清除事件。 /bu 选项可用于备份清除的事件。 |
选项
| 选项 | DESCRIPTION |
|---|---|
| /f:<Format> | 指定输出应为 XML 或文本格式。 如果 <Format> 为 XML,则输出以 XML 格式显示。 如果 <Format> 为 Text,则输出将不显示 XML 标记。 默认值为 Text。 |
| /e:<Enabled> | 启用或禁用日志。 <启用> 可以为 true 或 false。 |
| /i:<Isolation> | 设置日志隔离模式。 <隔离> 可以是系统、应用程序或自定义。 日志的隔离模式确定日志是否与同一隔离类中的其他日志共享会话。 如果指定系统隔离,目标日志将至少与系统日志共享写入权限。 如果指定应用程序隔离,则目标日志将至少与应用程序日志共享写入权限。 如果指定自定义隔离,则还必须使用 /ca 选项提供安全描述符。 |
| /lfn:<Logpath> | 定义日志文件名。 <Logpath> 是事件日志服务存储此日志事件的文件的完整路径。 |
| /rt:<Retention> | 设置日志保留模式。 <保留> 期可以是 true 或 false。 日志保留模式确定日志服务达到最大大小时事件日志服务的行为。 如果事件日志达到其最大大小并且日志保留模式为 true,则会保留现有事件,并丢弃传入事件。 如果日志保留模式为 false,则传入事件将覆盖日志中最早的事件。 |
| /ab:<Auto> | 指定日志自动备份策略。 <自动> 可以是 true 或 false。 如果此值为 true,则日志在达到最大大小时会自动备份。 如果此值为 true,则保留期(使用 /rt 选项指定)也必须设置为 true。 |
| /ms:<MaxSize> | 设置日志的最大大小(以字节为单位)。 最小日志大小为1048576字节(1024KB),日志文件始终为 64KB 的倍数,因此输入的值将相应地舍入。 |
| /l:<Level> | 定义日志的级别筛选器。 <级别> 可以是任何有效的级别值。 此选项仅适用于具有专用会话的日志。 可以通过将级别设置为 <0 来删除级别> 筛选器。 |
| /k:<Keywords> | 指定日志的关键字筛选器。 < >关键字可以是任何有效的 64 位关键字掩码。 此选项仅适用于具有专用会话的日志。 |
| /ca:<Channel> | 设置事件日志的访问权限。 <通道> 是使用安全描述符定义语言(SDDL)的安全描述符。 有关 SDDL 格式的详细信息,请参阅Microsoft开发人员网络 (MSDN) 网站 (https://msdn.microsoft.com)。 |
| /c:<Config> | 指定配置文件的路径。 此选项将导致从 Config< 中>定义的配置文件中读取日志属性。 如果使用此选项,则不得指定 <Logname> 参数。 将从配置文件中读取日志名称。 |
| /ge:<Metadata> | 获取此发布者可以引发的事件的元数据信息。 <元数据> 可以是 true 或 false。 |
| /gm:<Message> | 显示实际消息而不是数字消息 ID。 <消息> 可以是 true 或 false。 |
| /lf:<Logfile> | 指定事件应从日志或日志文件中读取。 <Logfile> 可以是 true 或 false。 如果为 true,则命令的参数是日志文件的路径。 |
| /sq:<Structquery> | 指定应使用结构化查询获取事件。 <结构查询> 可以是 true 或 false。 如果为 true, <则 Path> 是包含结构化查询的文件的路径。 |
| /q:<Query> | 定义 XPath 查询以筛选读取或导出的事件。 如果未指定此选项,将返回或导出所有事件。 当 /sq 为 true 时,此选项不可用。 |
| /bm:<Bookmark> | 指定包含上一个查询中的书签的文件的路径。 |
| /sbm:<Savebm> | 指定用于保存此查询书签的文件的路径。 文件扩展名应 .xml。 |
| /rd:<Direction> | 指定读取事件的方向。 <方向> 可以是 true 或 false。 如果为 true,则首先返回最新的事件。 |
| /l:<Locale> | 定义用于在特定区域设置中打印事件文本的区域设置字符串。 仅当使用 /f 选项以文本格式打印事件时可用。 |
| /c:<Count> | 设置要读取的最大事件数。 |
| /e:<Element> | 在 XML 中显示事件时包括根元素。 <元素> 是在根元素中所需的字符串。 例如, /e:root 将导致包含根元素对 <根目录>的 XML。 |
| /ow:<Overwrite> | 指定应覆盖导出文件。 <覆盖> 可以是 true 或 false。 如果为 true,并且 Exportfile< 中指定的>导出文件已存在,则会在不确认的情况下覆盖该文件。 |
| /bu:<Backup> | 指定将存储已清除事件的文件的路径。 在备份文件的名称中包含 .evtx 扩展名。 |
| /r:<Remote> | 在远程计算机上运行命令。 <远程> 是远程计算机的名称。 im 和 um 参数不支持远程作。 |
| /u:<Username> | 指定要登录到远程计算机的其他用户。 <用户名> 是窗体域\用户或用户的用户名。 仅当指定 了 /r 选项时,此选项才适用。 |
| /p:<Password> | 指定用户的密码。 如果使用 /u 选项,但未指定此选项或 <密码> 为 *,系统会提示用户输入密码。 仅当指定 /u 选项时,此选项才适用。 |
| /a:<Auth> | 定义用于连接到远程计算机的身份验证类型。 <身份验证> 可以是 Default、Negotiate、Kerberos 或 NTLM。 默认值为 Negotiate。 |
| /uni:<Unicode> | 在 Unicode 中显示输出。 <Unicode> 可以是 true 或 false。 如果 <Unicode> 为 true,则输出位于 Unicode 中。 |
注解
将配置文件与 sl 参数一起使用
配置文件是一个 XML 文件,其格式与 wevtutil gl <Logname> /f:xml 的输出格式相同。 若要显示启用保留的配置文件的格式,请启用自动备份,并在应用程序日志上设置最大日志大小:
<?xml version=1.0 encoding=UTF-8?> <channel name=Application isolation=Application xmlns=https://schemas.microsoft.com/win/2004/08/events> <logging> <retention>true</retention> <autoBackup>true</autoBackup> <maxSize>9000000</maxSize> </logging> <publishing> </publishing> </channel>
例子
列出所有日志的名称:
wevtutil el
以 XML 格式显示有关本地计算机上的系统日志的配置信息:
wevtutil gl System /f:xml
使用配置文件设置事件日志属性(有关配置文件示例的备注):
wevtutil sl /c:config.xml
显示有关MicrosoftWindows-Eventlog 事件发布者的信息,包括发布者可以引发的事件的元数据:
wevtutil gp Microsoft-Windows-Eventlog /ge:true
从 myManifest.xml 清单文件安装发布者和日志:
wevtutil im myManifest.xml
从 myManifest.xml 清单文件卸载发布者和日志:
wevtutil um myManifest.xml
以文本格式显示应用程序日志中的三个最新事件:
wevtutil qe Application /c:3 /rd:true /f:text
显示应用程序日志的状态:
wevtutil gli Application
将事件从系统日志导出到 C:\backup\system0506.evtx:
wevtutil epl System C:\backup\system0506.evtx
将事件保存到 C:\admin\backups\a10306.evtx 后,清除应用程序日志中的所有事件:
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
以独立格式存档指定的 (.evtx) 日志文件。 将创建子目录(LocaleMetaData),并将所有特定于区域设置的信息保存在该子目录中:
wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us