Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Umožňuje načíst informace o protokolech událostí a vydavatelích. Pomocí tohoto příkazu můžete také nainstalovat a odinstalovat manifesty událostí, spouštět dotazy a exportovat, archivovat a vymazat protokoly.
Syntax
wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]]
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]
Parameters
| Parameter | Description |
|---|---|
| {el | enum-logs} | Zobrazí názvy všech protokolů. |
| {gl | get-log} <Název> protokolu [/f:<Format>] | Zobrazí informace o konfiguraci pro zadaný protokol, včetně toho, jestli je protokol povolený nebo ne, aktuální maximální limit velikosti protokolu a cestu k souboru, ve kterém je protokol uložený. |
| {sl | set-log} <Název_> protokolu [/e:<Povoleno>] [/i:<Izolace>] [/lfn:<Cesta> protokolu] [/rt:<Uchovávání>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Úroveň>] [/k:<Klíčová slova>] [/ca:<Kanál>] [/c:<Konfigurace>] | Upraví konfiguraci zadaného protokolu. |
| {ep | enum-publishers} | Zobrazí vydavatele událostí v místním počítači. |
| {gp | get-publisher} <Název vydavatele> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] | Zobrazí informace o konfiguraci pro zadaného vydavatele událostí. |
| {im | install-manifest} <Manifest> [/{rf | resourceFilePath}:hodnota] [/{mf | messageFilePath}:hodnota] [/{pf | parameterFilePath}:hodnota] |
Nainstaluje vydavatele událostí a protokoly z manifestu. Další informace o manifestech událostí a použití tohoto parametru naleznete v sadě Sdk protokolu událostí systému Windows na webuhttps://msdn.microsoft.com microsoft Developers Network (MSDN). Hodnota je úplná cesta ke zmíněnému souboru. |
| {um | odinstalovat – manifest} <Manifest> | Odinstaluje všechny vydavatele a protokoly z manifestu. Další informace o manifestech událostí a použití tohoto parametru naleznete v sadě Sdk protokolu událostí systému Windows na webuhttps://msdn.microsoft.com microsoft Developers Network (MSDN). |
| {qe | query-events} <Cesta> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:Direction<] [/f:><Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>] | Čte události z protokolu událostí, ze souboru protokolu nebo pomocí strukturovaného dotazu. Ve výchozím nastavení zadáte název protokolu pro <cestu>. Pokud však použijete možnost /lf , musí <být cesta> cestou k souboru protokolu. Pokud použijete parametr /sq , <musí být cesta> k souboru, který obsahuje strukturovaný dotaz. |
| {gli | get-loginfo} <Název> protokolu [/lf:<Logfile>] | Zobrazí informace o stavu protokolu událostí nebo souboru protokolu. Pokud je použita možnost /lf , <Logname> je cesta k souboru protokolu. Můžete spustit wevtutil el získat seznam názvů protokolů. |
| {epl | export-log} <Cesta><Exportfile> [/lf:<Soubor> protokolu] [/sq:<Struktura>] [/q:<Dotaz>] [/ow:<Přepsat>] | Exportuje události z protokolu událostí, ze souboru protokolu nebo pomocí strukturovaného dotazu do zadaného souboru. Ve výchozím nastavení zadáte název protokolu pro <cestu>. Pokud však použijete možnost /lf , musí <být cesta> cestou k souboru protokolu. Pokud použijete parametr /sq, musí být cesta< k souboru, >který obsahuje strukturovaný dotaz. <Exportfile> je cesta k souboru, kde budou exportované události uloženy. |
| {al | archiv-log} <> Cesta k protokolu [/l:<národní prostředí>] | Archivuje zadaný soubor protokolu v samostatném formátu. Vytvoří se podadresář s názvem národního prostředí a všechny informace specifické pro národní prostředí se uloží do tohoto podadresáře. Po vytvoření adresáře a souboru protokolu spuštěním wevtutil al lze číst události v souboru bez ohledu na to, zda je vydavatel nainstalován nebo ne. |
| {cl | vymazat-log} <Název_> protokolu [/bu:<Záloha>] | Vymaže události ze zadaného protokolu událostí. Parametr /bu lze použít k zálohování vymazaných událostí. |
Možnosti
| Option | Description |
|---|---|
| /f:<Formát> | Určuje, že výstup by měl být ve formátu XML nebo textu. Pokud <je formát> XML, výstup se zobrazí ve formátu XML. Pokud <je Formát> text, výstup se zobrazí bez značek XML. Výchozí hodnota je Text. |
| /e:<Povoleno> | Povolí nebo zakáže protokol. <Povoleno> může být true nebo false. |
| /i:<Izolace> | Nastaví režim izolace protokolu. <Izolace> může být systém, aplikace nebo vlastní. Režim izolace protokolu určuje, jestli protokol sdílí relaci s jinými protokoly ve stejné třídě izolace. Pokud zadáte izolaci systému, bude cílový protokol sdílet alespoň oprávnění k zápisu do systémového protokolu. Pokud zadáte izolaci aplikace, bude cílový protokol sdílet alespoň oprávnění k zápisu s protokolem aplikace. Pokud určíte vlastní izolaci, musíte také poskytnout popisovač zabezpečení pomocí možnosti /ca . |
| /lfn:<Logpath> | Definuje název souboru protokolu. <Logpath> je úplná cesta k souboru, kde služba Protokolu událostí ukládá události pro tento protokol. |
| /rt:<Uchovávání> | Nastaví režim uchovávání protokolů. <Uchování> může být pravdivé nebo nepravdivé. Režim uchovávání protokolů určuje chování služby Protokolu událostí, když protokol dosáhne maximální velikosti. Pokud protokol událostí dosáhne maximální velikosti a režim uchovávání protokolů je pravdivý, stávající události se zachovají a příchozí události se zahodí. Pokud je režim uchovávání protokolů false, příchozí události přepíší nejstarší události v protokolu. |
| /ab:<Automaticky> | Určuje zásady automatického zálohování protokolů. <Automaticky> může být pravda nebo nepravda. Pokud je tato hodnota pravdivá, protokol se automaticky zálohuje, jakmile dosáhne maximální velikosti. Pokud je tato hodnota true, musí být retence (určená pomocí možnosti /rt ) také nastavená na true. |
| /ms:<MaxSize> | Nastaví maximální velikost protokolu v bajtech. Minimální velikost protokolu je 1048576 bajty (1024 kB) a soubory protokolu jsou vždy násobky 64 kB, takže zadaná hodnota se odpovídajícím způsobem zaokrouhlí. |
| /l:<Úroveň> | Definuje filtr úrovně protokolu. <Úroveň> může být libovolná platná hodnota úrovně. Tato možnost se vztahuje pouze na protokoly s vyhrazenou relací. Filtr úrovně můžete odebrat nastavením <úrovně> na 0. |
| /k:<Klíčová slova> | Určuje filtr klíčových slov protokolu. < > Klíčová slova můžou být libovolná platná 64bitová maska klíčových slov. Tato možnost se vztahuje pouze na protokoly s vyhrazenou relací. |
| /ca:<Kanál> | Nastaví přístupová oprávnění pro protokol událostí. <Kanál> je popisovač zabezpečení, který používá jazyk SDDL (Security Descriptor Definition Language). Další informace o formátu SDDL naleznete na webuhttps://msdn.microsoft.com Microsoft Developers Network (MSDN). |
| /c:<Konfigurace> | Určuje cestu ke konfiguračnímu souboru. Tato možnost způsobí čtení vlastností protokolu z konfiguračního souboru definovaného v <konfiguraci>. Pokud použijete tuto možnost, nesmíte zadat <parametr Logname> . Název protokolu se načte z konfiguračního souboru. |
| /ge:<Metadata> | Získá informace metadat pro události, které mohou být vyvolány tímto vydavatelem. <Metadata> můžou být true nebo false. |
| /gm:<Zpráva> | Zobrazí skutečnou zprávu místo ID číselné zprávy. <Zpráva> může být pravdivá nebo nepravda. |
| /lf:<Soubor protokolu> | Určuje, že události by se měly číst z protokolu nebo ze souboru protokolu. <Soubor protokolu> může být true nebo false. Pokud je hodnota true, parametr příkazu představuje cestu k souboru protokolu. |
| /sq:<Strukturovaný dotaz> | Určuje, že události by se měly získat pomocí strukturovaného dotazu. <Structquery> může být true nebo false. Pokud je hodnota true, <cesta> je cesta k souboru, který obsahuje strukturovaný dotaz. |
| /q:<Dotaz> | Definuje dotaz XPath pro filtrování událostí, které jsou přečteny nebo exportovány. Pokud tato možnost není zadána, budou všechny události vráceny nebo exportovány. Tato možnost není dostupná, pokud je /sq true. |
| /bm:<Záložka> | Určuje cestu k souboru, který obsahuje záložku z předchozího dotazu. |
| /sbm:<Uložit> | Určuje cestu k souboru, který slouží k uložení záložky tohoto dotazu. Přípona názvu souboru by měla být .xml. |
| /rd:<Směr> | Určuje směr čtení událostí. <Směr> může být true nebo false. Pokud je hodnota true, vrátí se jako první nejnovější události. |
| /l:<národní prostředí> | Definuje řetězec národního prostředí, který se používá k tisku textu události v určitém národním prostředí. Tato možnost je dostupná pouze při tisku událostí v textovém formátu s použitím možnosti /f . |
| /c:<Počet> | Nastaví maximální počet událostí, které se mají přečíst. |
| /e:<– element> | Obsahuje kořenový prvek při zobrazení událostí v XML. <Element> je řetězec, který chcete použít v kořenovém elementu. Například /e:root by výsledkem bylo XML, které obsahuje pár <kořenových elementů root></root>. |
| /ow:<Přepsat> | Určuje, že se má soubor exportu přepsat. <Přepsání> může být true nebo false. Pokud je hodnota true a soubor exportu zadaný v <souboru exportu> již existuje, přepíše se bez potvrzení. |
| /bu:<Zálohování> | Určuje cestu k souboru, do kterého budou uloženy vymazané události. Do názvu záložního souboru zahrňte příponu .evtx. |
| /r:<Vzdálený> | Spustí příkaz na vzdáleném počítači. <Vzdálený> je název vzdáleného počítače. Parametry im a um nepodporují vzdálené ovládání. |
| /u:<Uživatelské jméno> | Určuje jiného uživatele, který se má přihlásit ke vzdálenému počítači. <Uživatelské jméno> je uživatelské jméno ve formuláři doména\uživatel nebo uživatel. Tato možnost je použitelná pouze v případě, že je zadána možnost /r . |
| /p:<Heslo> | Určuje heslo pro uživatele. Pokud je použita možnost /u a tato možnost není zadána nebo <je Heslo> *, bude uživatel vyzván k zadání hesla. Tato možnost je použitelná pouze v případě, že je zadána možnost /u . |
| /a:<Auth> | Definuje typ ověřování pro připojení ke vzdálenému počítači. < > Ověřování může být výchozí, vyjednat, Kerberos nebo NTLM. Výchozí hodnota je Negotiate. |
| /uni:<Unicode> | Zobrazí výstup v kódování Unicode. <Unicode> může být true nebo false. Pokud <je Unicode> true, výstup je v Unicode. |
Remarks
Použití konfiguračního souboru s parametrem SL
Konfigurační soubor je soubor XML se stejným formátem jako výstup příkazu wevtutil gl <Logname> /f:xml. Pokud chcete zobrazit formát konfiguračního souboru, který umožňuje uchovávání, povolí automatické zálohování a nastaví maximální velikost protokolu v protokolu aplikace:
<?xml version=1.0 encoding=UTF-8?> <channel name=Application isolation=Application xmlns=https://schemas.microsoft.com/win/2004/08/events> <logging> <retention>true</retention> <autoBackup>true</autoBackup> <maxSize>9000000</maxSize> </logging> <publishing> </publishing> </channel>
Examples
Výpis názvů všech protokolů:
wevtutil el
Zobrazení konfiguračních informací o systémovém protokolu v místním počítači ve formátu XML:
wevtutil gl System /f:xml
K nastavení atributů protokolu událostí použijte konfigurační soubor (viz Poznámky pro příklad konfiguračního souboru):
wevtutil sl /c:config.xml
Zobrazí informace o vydavateli událostí MicrosoftWindows-Eventlog, včetně metadat o událostech, které může vydavatel vyvolat:
wevtutil gp Microsoft-Windows-Eventlog /ge:true
Nainstalujte vydavatele a protokoly ze souboru manifestu myManifest.xml:
wevtutil im myManifest.xml
Odinstalujte vydavatele a protokoly ze souboru manifestu myManifest.xml:
wevtutil um myManifest.xml
Zobrazení tří nejnovějších událostí z protokolu aplikace v textovém formátu:
wevtutil qe Application /c:3 /rd:true /f:text
Zobrazení stavu protokolu aplikace:
wevtutil gli Application
Export událostí z systémového protokolu do složky C:\backup\system0506.evtx:
wevtutil epl System C:\backup\system0506.evtx
Vymažte všechny události z protokolu aplikace po uložení do složky C:\admin\backups\a10306.evtx:
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
Archivujte zadaný soubor protokolu (.evtx) v samostatném formátu. Vytvoří se podadresář (LocaleMetaData) a všechny informace specifické pro národní prostředí se uloží do daného podadresáře:
wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us