Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ermöglicht das Abrufen von Informationen zu Ereignisprotokollen und Herausgebern. Sie können diesen Befehl auch zum Installieren und Deinstallieren von Ereignismanifesten, zum Ausführen von Abfragen und zum Exportieren, Archivieren und Löschen von Protokollen verwenden.
Syntax
wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]]
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]
Die Parameter
| Parameter | BESCHREIBUNG |
|---|---|
| {el | Enumerationsprotokolle} | Zeigt die Namen aller Protokolle an. |
| {gl | get-log} <Protokollname> [/f:<Format>] | Zeigt Konfigurationsinformationen für das angegebene Protokoll an, das enthält, ob das Protokoll aktiviert ist oder nicht, das aktuelle maximale Größenlimit des Protokolls und den Pfad zu der Datei, in der das Protokoll gespeichert ist. |
| {sl | set-log} <Logname> [/e:<Enabled>] [/i:Isolation<] [/lfn:>Logpath<] [/rt:>Retention<] [/ab:>Auto<] [/ms:>MaxSize<] [/l:>Level<] [/k:><Keywords>] [/ca:<Channel>] [/c:<Config>] | Ändert die Konfiguration des angegebenen Protokolls. |
| {ep | enum-publisher} | Zeigt die Ereignisverleger auf dem lokalen Computer an. |
| {gp | get-publisher} <Name> des Herausgebers [/ge:<Metadaten>] [/gm:<Nachricht>] [/f:<Format>]] | Zeigt die Konfigurationsinformationen für den angegebenen Ereignisherausgeber an. |
| {im | install-manifest} <Manifest> [/{rf | resourceFilePath}:Wert] [/{mf | messageFilePath}:Wert] [/{pf | parameterFilePath}:Wert] |
Installiert Ereignisher und Protokolle aus einem Manifest. Weitere Informationen zu Ereignismanifesten und zur Verwendung dieses Parameters finden Sie im Windows Event Log SDK auf der Msdn-Website (https://msdn.microsoft.comMicrosoft Developers Network). Der Wert ist der vollständige Pfad zur erwähnten Datei. |
| {um | uninstall-manifest} <Manifest> | Deinstalliert alle Herausgeber und Protokolle aus einem Manifest. Weitere Informationen zu Ereignismanifesten und zur Verwendung dieses Parameters finden Sie im Windows Event Log SDK auf der Msdn-Website (https://msdn.microsoft.comMicrosoft Developers Network). |
| {qe | query-events} <Pfad> [/lf:Logfile<] [/sq:>Structquery<] [/q:>Query<] [/bm:>Bookmark<] [/sbm:>Savebm<] [/rd:><Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>] | Liest Ereignisse aus einem Ereignisprotokoll, aus einer Protokolldatei oder mithilfe einer strukturierten Abfrage. Standardmäßig geben Sie einen Protokollnamen für <Path> an. Wenn Sie jedoch die Option "/lf " verwenden, <muss "Path> " ein Pfad zu einer Protokolldatei sein. Wenn Sie den Parameter "/sq " verwenden, <muss "Path> " ein Pfad zu einer Datei sein, die eine strukturierte Abfrage enthält. |
| {gli | get-loginfo} <Logname> [/lf:<Logfile>] | Zeigt Statusinformationen zu einem Ereignisprotokoll oder einer Protokolldatei an. Wenn die Option "/lf " verwendet wird, <ist "Logname> " ein Pfad zu einer Protokolldatei. Sie können wevtutil el ausführen, um eine Liste mit Protokollnamen abzurufen. |
| {epl | export-log} <Pfadexportdatei [/lf:>Logfile<] [/sq:>Structquery<] [/q:>Query<] [/ow:>Overwrite<]><> | Exportiert Ereignisse aus einem Ereignisprotokoll, aus einer Protokolldatei oder mithilfe einer strukturierten Abfrage in die angegebene Datei. Standardmäßig geben Sie einen Protokollnamen für <Path> an. Wenn Sie jedoch die Option "/lf " verwenden, <muss "Path> " ein Pfad zu einer Protokolldatei sein. Wenn Sie die Option "/sq " verwenden, <muss "Path> " ein Pfad zu einer Datei sein, die eine strukturierte Abfrage enthält. <"Exportdatei> " ist ein Pfad zu der Datei, in der die exportierten Ereignisse gespeichert werden. |
| {al | archiv-log} <Logpath> [/l:<Locale>] | Archiviert die angegebene Protokolldatei in einem eigenständigen Format. Ein Unterverzeichnis mit dem Namen des Gebietsschemas wird erstellt, und alle gebietsschemaspezifischen Informationen werden in diesem Unterverzeichnis gespeichert. Nachdem das Verzeichnis und die Protokolldatei erstellt wurden, indem wevtutil al ausgeführt wird, können Ereignisse in der Datei lesen, ob der Herausgeber installiert ist oder nicht. |
| {cl | clear-log} <Protokollname> [/bu:<Backup>] | Löscht Ereignisse aus dem angegebenen Ereignisprotokoll. Die /bu-Option kann verwendet werden, um die gelöschten Ereignisse zu sichern. |
Optionen
| Auswahlmöglichkeit | BESCHREIBUNG |
|---|---|
| /f:<Format> | Gibt an, dass die Ausgabe entweder XML- oder Textformat sein soll. Wenn <Format> XML ist, wird die Ausgabe im XML-Format angezeigt. Wenn <"Format" "Text"> ist, wird die Ausgabe ohne XML-Tags angezeigt. Der Standardwert ist "Text". |
| /e:<Aktiviert> | Aktiviert oder deaktiviert ein Protokoll. < > Aktiviert kann wahr oder falsch sein. |
| /i:<Isolierung> | Legt den Protokollisolationsmodus fest. <Isolation> kann System, Anwendung oder benutzerdefiniert sein. Der Isolationsmodus eines Protokolls bestimmt, ob ein Protokoll eine Sitzung mit anderen Protokollen in derselben Isolationsklasse teilt. Wenn Sie die Systemisolation angeben, teilt das Zielprotokoll mindestens Schreibberechtigungen für das Systemprotokoll. Wenn Sie die Anwendungsisolation angeben, teilt das Zielprotokoll mindestens Schreibberechtigungen mit dem Anwendungsprotokoll. Wenn Sie eine benutzerdefinierte Isolation angeben, müssen Sie auch einen Sicherheitsdeskriptor mithilfe der Option "/ca " bereitstellen. |
| /lfn:<Logpfad> | Definiert den Namen der Protokolldatei. <Logpath> ist ein vollständiger Pfad zu der Datei, in der der Ereignisprotokolldienst Ereignisse für dieses Protokoll speichert. |
| /rt:<Aufbewahrung> | Legt den Protokollaufbewahrungsmodus fest. <Die Aufbewahrung> kann wahr oder falsch sein. Der Protokollaufbewahrungsmodus bestimmt das Verhalten des Ereignisprotokolldiensts, wenn ein Protokoll seine maximale Größe erreicht. Wenn ein Ereignisprotokoll seine maximale Größe erreicht und der Protokollaufbewahrungsmodus wahr ist, werden vorhandene Ereignisse beibehalten, und eingehende Ereignisse werden verworfen. Wenn der Protokollaufbewahrungsmodus falsch ist, überschreiben eingehende Ereignisse die ältesten Ereignisse im Protokoll. |
| /ab:<Automatisch> | Gibt die Richtlinie für die automatische Sicherung des Protokolls an. <Auto> kann wahr oder falsch sein. Wenn dieser Wert "true" ist, wird das Protokoll automatisch gesichert, wenn er die maximale Größe erreicht. Wenn dieser Wert "true" ist, muss die Aufbewahrung (angegeben mit der Option "/rt ") auch auf "true" festgelegt werden. |
| /ms:<MaxSize> | Legt die maximale Größe des Protokolls in Bytes fest. Die minimale Protokollgröße ist 1048576 Bytes (1024 KB) und Protokolldateien sind immer Vielfache von 64 KB, sodass der von Ihnen eingegebene Wert entsprechend abgerundet wird. |
| /l:<Ebene> | Definiert den Ebenenfilter des Protokolls. <Die Ebene> kann ein beliebiger gültiger Levelwert sein. Diese Option gilt nur für Protokolle mit einer dedizierten Sitzung. Sie können einen Ebenenfilter entfernen, indem Sie "Ebene<" auf "0" festlegen>. |
| /k:<Schlüsselwörter> | Gibt den Schlüsselwörterfilter des Protokolls an. <Schlüsselwörter> können eine beliebige gültige 64-Bit-Schlüsselwortmaske sein. Diese Option gilt nur für Protokolle mit einer dedizierten Sitzung. |
| /ca:<Kanal> | Legt die Zugriffsberechtigung für ein Ereignisprotokoll fest. <Channel> ist ein Sicherheitsdeskriptor, der die Security Descriptor Definition Language (SDDL) verwendet. Weitere Informationen zum SDDL-Format finden Sie auf der MSDN-Website (https://msdn.microsoft.comMicrosoft Developers Network). |
| /c:<Konfiguration> | Gibt den Pfad zu einer Konfigurationsdatei an. Diese Option bewirkt, dass Protokolleigenschaften aus der konfigurationsdatei gelesen werden, die in <Config> definiert ist. Wenn Sie diese Option verwenden, dürfen Sie keinen Logname-Parameter< angeben>. Der Protokollname wird aus der Konfigurationsdatei gelesen. |
| /ge:<Metadaten> | Ruft Metadateninformationen für Ereignisse ab, die von diesem Herausgeber ausgelöst werden können. <Metadaten> können wahr oder falsch sein. |
| /gm:<Nachricht> | Zeigt die tatsächliche Nachricht anstelle der numerischen Nachrichten-ID an. <Die Nachricht> kann wahr oder falsch sein. |
| /lf:<Logdatei> | Gibt an, dass die Ereignisse aus einem Protokoll oder aus einer Protokolldatei gelesen werden sollen. <Logfile> kann wahr oder falsch sein. Bei "true" ist der Parameter für den Befehl der Pfad zu einer Protokolldatei. |
| /sq:<Strukturabfrage> | Gibt an, dass Ereignisse mit einer strukturierten Abfrage abgerufen werden sollen. <Strukturabfragen> können wahr oder falsch sein. Bei "true" <ist "Path> " der Pfad zu einer Datei, die eine strukturierte Abfrage enthält. |
| /q:<Abfrage> | Definiert die XPath-Abfrage, um die Ereignisse zu filtern, die gelesen oder exportiert werden. Wenn diese Option nicht angegeben ist, werden alle Ereignisse zurückgegeben oder exportiert. Diese Option ist nicht verfügbar, wenn /sq true ist. |
| /bm:<Lesezeichen> | Gibt den Pfad zu einer Datei an, die eine Textmarke aus einer vorherigen Abfrage enthält. |
| /sbm:<Savebm> | Gibt den Pfad zu einer Datei an, die zum Speichern einer Textmarke dieser Abfrage verwendet wird. Die Dateinamenerweiterung sollte .xmlwerden. |
| /rd:<Richtung> | Gibt die Richtung an, in der Ereignisse gelesen werden. <Die Richtung> kann wahr oder falsch sein. Ist "true", werden die neuesten Ereignisse zuerst zurückgegeben. |
| /l:<Gebietsschema> | Definiert eine Gebietsschemazeichenfolge, die zum Drucken von Ereignistext in einem bestimmten Gebietsschema verwendet wird. Nur verfügbar beim Drucken von Ereignissen im Textformat mithilfe der Option "/f ". |
| /c:<Anzahl> | Legt die maximale Anzahl der zu lesenden Ereignisse fest. |
| /e:<Element> | Enthält ein Stammelement beim Anzeigen von Ereignissen in XML. <Element> ist die gewünschte Zeichenfolge innerhalb des Stammelements. Beispielsweise würde "/e:root" zu XML führen, das das Stammelementpaar <>enthält. |
| /ow:<Überschreiben> | Gibt an, dass die Exportdatei überschrieben werden soll. <Überschreiben> kann wahr oder falsch sein. Wenn "true" und die in <"Exportdatei> " angegebene Exportdatei bereits vorhanden ist, wird sie ohne Bestätigung überschrieben. |
| /bu:<Sicherung> | Gibt den Pfad zu einer Datei an, in der die gelöschten Ereignisse gespeichert werden. Schließen Sie die ERWEITERUNG EVTX in den Namen der Sicherungsdatei ein. |
| /r:<Fernbedienung> | Führt den Befehl auf einem Remotecomputer aus. <Remote> ist der Name des Remotecomputers. Die Im- und Um-Parameter unterstützen keinen Remotevorgang. |
| /u:<Benutzername> | Gibt einen anderen Benutzer an, der sich bei einem Remotecomputer anmelden soll. <Benutzername ist ein Benutzername> in der Formulardomäne\Benutzer oder Benutzer. Diese Option gilt nur, wenn die Option /r angegeben wird. |
| /p:<Passwort> | Gibt das Kennwort für den Benutzer an. Wenn die Option "/u " verwendet wird und diese Option nicht angegeben ist oder <das Kennwort> "*" lautet, wird der Benutzer aufgefordert, ein Kennwort einzugeben. Diese Option gilt nur, wenn die Option "/u " angegeben wird. |
| /a:<Authentifizierung> | Definiert den Authentifizierungstyp für die Verbindung mit einem Remotecomputer. <Authentifizierung> kann "Standard", "Aushandeln", "Kerberos" oder "NTLM" sein. Der Standardwert ist "Negotiate". |
| /uni:<Unicode> | Zeigt die Ausgabe in Unicode an. <Unicode> kann wahr oder falsch sein. Wenn <Unicode> wahr ist, befindet sich die Ausgabe in Unicode. |
Bemerkungen
Verwenden einer Konfigurationsdatei mit dem sl-Parameter
Die Konfigurationsdatei ist eine XML-Datei mit demselben Format wie die Ausgabe von wevtutil gl <Logname> /f:xml. So zeigen Sie das Format einer Konfigurationsdatei an, die die Aufbewahrung ermöglicht, aktiviert das automatischeBacken und legt die maximale Protokollgröße im Anwendungsprotokoll fest:
<?xml version=1.0 encoding=UTF-8?> <channel name=Application isolation=Application xmlns=https://schemas.microsoft.com/win/2004/08/events> <logging> <retention>true</retention> <autoBackup>true</autoBackup> <maxSize>9000000</maxSize> </logging> <publishing> </publishing> </channel>
Beispiele
Listet die Namen aller Protokolle auf:
wevtutil el
Anzeigen von Konfigurationsinformationen zum Systemprotokoll auf dem lokalen Computer im XML-Format:
wevtutil gl System /f:xml
Verwenden Sie eine Konfigurationsdatei zum Festlegen von Ereignisprotokollattributen (siehe Hinweise für ein Beispiel für eine Konfigurationsdatei):
wevtutil sl /c:config.xml
Zeigen Sie Informationen zum Microsoft-Windows-Eventlog-Ereignisherausgeber an, einschließlich Metadaten zu den Ereignissen, die der Herausgeber auslösen kann:
wevtutil gp Microsoft-Windows-Eventlog /ge:true
Installieren Sie Herausgeber und Protokolle aus der myManifest.xml Manifestdatei:
wevtutil im myManifest.xml
Deinstallieren Sie Herausgeber und Protokolle aus der myManifest.xml Manifestdatei:
wevtutil um myManifest.xml
Zeigt die drei neuesten Ereignisse aus dem Anwendungsprotokoll im Textformat an:
wevtutil qe Application /c:3 /rd:true /f:text
Den Status des Anwendungsprotokolls anzeigen:
wevtutil gli Application
Exportieren von Ereignissen aus dem Systemprotokoll nach C:\backup\system0506.evtx:
wevtutil epl System C:\backup\system0506.evtx
Löschen Sie alle Ereignisse aus dem Anwendungsprotokoll, nachdem sie in C:\admin\backups\a10306.evtx gespeichert wurden:
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
Archivieren Sie die angegebene (EVTX)-Protokolldatei in einem eigenständigen Format. Es wird ein Unterverzeichnis (LocaleMetaData) erstellt, und alle gebietsschemaspezifischen Informationen werden in diesem Unterverzeichnis gespeichert:
wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us