wevtutil
Ermöglicht das Abrufen von Informationen über Ereignisprotokolle und Herausgeber. Dieser Befehl dient auch zum Installieren und Deinstallieren von Ereignismanifesten, um Abfragen auszuführen, und zum Exportieren, Archivieren und Löschen von Protokollen.
Syntax
wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]]
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]
Parameter
| Parameter | BESCHREIBUNG |
|---|---|
| {el | enum-logs} | Zeigt die Namen aller Protokolle an. |
| {gl | get-log} < Protokollname> [/f:<Format>] | Zeigt Konfigurationsinformationen für das angegebene Protokoll an: Ob das Protokoll aktiviert ist oder nicht, die aktuelle maximale Größe des Protokolls und den Pfad zu der Datei, in der das Protokoll gespeichert ist. |
| {sl | set-log} <Protokollname> [/e:<Aktiviert>] [/i:<Isolation>] [/lfn:<Protokollpfad>] [/rt:<Aufbewahrung>] [/ab:<Automatisch>] [/ms:<Maximale Größe>] [/l:<Ebene>] [/k:<Schlüsselwörter>] [/ca:<Kanal>] [/c:<Konfiguration>] | Ändert die Konfiguration des angegebenen Protokolls. |
| {ep | enum-publishers} | Zeigt die Ereignisherausgeber auf dem lokalen Computer an. |
| {gp | get-publisher} <Herausgebername> [/ge:<Metadaten>] [/gm:<Nachricht>] [/f:<Format>]] | Zeigt die Konfigurationsinformationen für den angegebenen Ereignisherausgeber an. |
| {im | install-manifest} < Manifest> [/{rf | resourceFilePath}:Wert] [/{mf | messageFilePath}:Wert] [/{pf | parameterFilePath}:Wert] |
Installiert Ereignisherausgeber und Protokolle aus einem Manifest. Weitere Informationen zu Ereignismanifesten und zur Verwendung dieses Parameters finden Sie im Windows Event Log SDK auf der MSDN-Website (Microsoft Developers Network) (https://msdn.microsoft.com). Der Wert ist der vollständige Pfad zu der genannten Datei. |
| {uim | uninstall-manifest} < Manifest> | Deinstalliert Ereignisherausgeber und Protokolle aus einem Manifest. Weitere Informationen zu Ereignismanifesten und zur Verwendung dieses Parameters finden Sie im Windows Event Log SDK auf der MSDN-Website (Microsoft Developers Network) (https://msdn.microsoft.com). |
| {qe | query-events} <Pfad> [/lf:<Protokolldatei>] [/sq:<Strukturabfrage>] [/q:<Abfrage>] [/bm:<Lesezeichen>] [/sbm:<Lesezeichen speichern>] [/rd:<Richtung>] [/f:<Format>] [/l:<Gebietsschema>] [/c:<Anzahl>] [/e:<Element>] | Liest Ereignisse aus einem Ereignisprotokoll, aus einer Protokolldatei oder mithilfe einer strukturierten Abfrage. Standardmäßig geben Sie einen Protokollnamen für <Pfad> an. Wenn Sie jedoch die Option /lf verwenden, muss <Pfad> ein Pfad zu einer Protokolldatei sein. Wenn Sie den Parameter /sq verwenden, muss <Pfad> ein Pfad zu einer Datei sein, die eine strukturierte Abfrage enthält. |
| {gli | get-loginfo} <Protokollname> [/lf:<Protokolldatei>] | Zeigt Statusinformationen zu einem Ereignisprotokoll oder einer Protokolldatei an. Wenn die Option /lf verwendet wird, ist <Protokollname> ein Pfad zu einer Protokolldatei. Sie können wevtutil el ausführen, um eine Liste mit Protokollnamen abzurufen. |
| {epl | export-log} <Pfad><Exportdatei> [/lf:<Protokolldatei>] [/sq:<Strukturabfrage>] [/q:<Abfrage>] [/ow:<Überschreiben>] | Exportiert Ereignisse aus einem Ereignisprotokoll, aus einer Protokolldatei oder mithilfe einer strukturierten Abfrage in die angegebene Datei. Standardmäßig geben Sie einen Protokollnamen für <Pfad> an. Wenn Sie jedoch die Option /lf verwenden, muss <Pfad> ein Pfad zu einer Protokolldatei sein. Wenn Sie die Option /sq verwenden, muss <Pfad> ein Pfad zu einer Datei sein, die eine strukturierte Abfrage enthält. <Exportdatei> ist ein Pfad zu der Datei, in der die exportierten Ereignisse gespeichert werden. |
| {al | archive-log} <Protokollpfad> [/l:<Gebietsschema>] | Archiviert die angegebene Protokolldatei in einem eigenständigen Format. Es wird ein Unterverzeichnis mit dem Namen des Gebietsschemas erstellt, und alle gebietsschemaspezifischen Informationen werden in diesem Unterverzeichnis gespeichert. Nachdem das Verzeichnis und die Protokolldatei durch Ausführen von wevtutil al erstellt wurden, können Ereignisse in der Datei unabhängig davon gelesen werden, ob der Herausgeber installiert ist oder nicht. |
| {cl | clear-log} <Protokollname> [/bu:<Sicherung>] | Löscht Ereignisse aus dem angegebenen Ereignisprotokoll. Die Option /bu kann verwendet werden, um die gelöschten Ereignisse zu sichern. |
Optionen
| Option | BESCHREIBUNG |
|---|---|
| /f:<Format> | Gibt an, dass die Ausgabe entweder im XML- oder Textformat erfolgen soll. Wenn <Format> XML ist, wird die Ausgabe im XML-Format angezeigt. Wenn <Format> „Text“ ist, wird die Ausgabe ohne XML-Tags angezeigt. Der Standardwert ist Text. |
| /e:<Aktiviert> | Aktiviert oder deaktiviert ein Protokoll. <Aktiviert> kann true oder false sein. |
| /i:<Isolation> | Legt den Protokollisolationsmodus fest. <Isolation> kann System, Anwendung oder benutzerdefiniert sein. Der Isolationsmodus eines Protokolls bestimmt, ob ein Protokoll eine Sitzung mit anderen Protokollen in derselben Isolationsklasse gemeinsam verwendet. Wenn Sie die Systemisolation angeben, teilt das Zielprotokoll mindestens Schreibberechtigungen mit dem Systemprotokoll. Wenn Sie die Anwendungsisolation angeben, teilt das Zielprotokoll mindestens Schreibberechtigungen mit dem Anwendungsprotokoll. Wenn Sie die benutzerdefinierte Isolation angeben, müssen Sie auch mit der Option /ca eine Sicherheitsbeschreibung angeben. |
| /lfn:<Protokollpfad> | Definiert den Namen der Protokolldatei. <Protokollpfad> ist ein vollständiger Pfad zu der Datei, in der der Ereignisprotokolldienst Ereignisse für dieses Protokoll speichert. |
| /rt:<Aufbewahrung> | Legt den Protokollaufbewahrungsmodus fest. <Aufbewahrung> kann true oder false sein. Der Protokollaufbewahrungsmodus bestimmt das Verhalten des Ereignisprotokolldiensts, wenn ein Protokoll seine maximale Größe erreicht. Wenn ein Ereignisprotokoll seine maximale Größe erreicht und der Protokollaufbewahrungsmodus true ist, werden vorhandene Ereignisse beibehalten, und eingehende Ereignisse werden verworfen. Wenn der Protokollaufbewahrungsmodus false ist, überschreiben eingehende Ereignisse die ältesten Ereignisse im Protokoll. |
| /ab:<Automatisch> | Gibt die Richtlinie für die automatische Protokollsicherung an. <Automatisch> kann true oder false sein. Wenn dieser Wert true ist, wird das Protokoll automatisch gesichert, wenn es die maximale Größe erreicht. Wenn dieser Wert true ist, muss auch die Aufbewahrung (angegeben mit der Option /rt ) auf true festgelegt werden. |
| /ms:<Maximale Größe> | Legt die maximale Größe des Protokolls in Bytes fest. Die minimale Protokollgröße beträgt 1.048.576 Bytes (1.024 KB), und Protokolldateien sind immer ein Vielfaches von 64 KB, sodass der eingegebene Wert entsprechend abgerundet wird. |
| /l:<Ebene> | Definiert den Ebenenfilter des Protokolls. <Ebene> kann ein beliebiger gültiger Ebenenwert sein. Diese Option gilt nur für Protokolle mit einer dedizierten Sitzung. Sie können einen Ebenenfilter entfernen, indem Sie die <Ebene> auf 0 festlegen. |
| /k:<Schlüsselwörter> | Gibt den Schlüsselwörterfilter des Protokolls an. <Schlüsselwörter> kann eine beliebige gültige 64-Bit-Schlüsselwortmaske sein. Diese Option gilt nur für Protokolle mit einer dedizierten Sitzung. |
| /ca:<Kanal> | Legt die Zugriffsberechtigung für ein Ereignisprotokoll fest. <Kanal> ist eine Sicherheitsbeschreibung, die die Security Descriptor Definition Language (SDDL) verwendet. Weitere Informationen zum SDDL-Format finden Sie auf der MSDN-Website https://msdn.microsoft.com (Microsoft Developers Network). |
| /c:<Konfiguration> | Gibt den Pfad zu einer Konfigurationsdatei an. Diese Option bewirkt, dass Protokolleigenschaften aus der in <Konfiguration> definierten Konfigurationsdatei gelesen werden. Wenn Sie diese Option verwenden, dürfen Sie keinen <Protokollname>-Parameter angeben. Der Protokollname wird aus der Konfigurationsdatei gelesen. |
| /ge:<Metadaten> | Ruft Metadateninformationen für Ereignisse ab, die von diesem Herausgeber ausgelöst werden können. <Metadaten> kann true oder false sein. |
| /gm:<Nachricht> | Zeigt die tatsächliche Nachricht anstelle der numerischen Nachrichten-ID an. <Nachricht> kann true oder false sein. |
| /lf:<Protokolldatei> | Gibt an, dass die Ereignisse aus einem Protokoll oder einer Protokolldatei gelesen werden sollen. <Protokolldatei> kann true oder false sein. Wenn true, ist der Parameter des Befehls der Pfad zu einer Protokolldatei. |
| /sq:<Strukturabfrage> | Gibt an, dass Ereignisse mit einer strukturierten Abfrage abgerufen werden sollten. <Strukturabfrage> kann true oder false sein. Wenn true, ist <Pfad> der Pfad zu einer Datei, die eine strukturierte Abfrage enthält. |
| /q:<Abfrage> | Definiert die XPath-Abfrage, um die Ereignisse zu filtern, die gelesen oder exportiert werden. Wenn diese Option nicht angegeben ist, werden alle Ereignisse zurückgegeben oder exportiert. Diese Option ist nicht verfügbar, wenn /sq true ist. |
| /bm:<Lesezeichen> | Gibt den Pfad zu einer Datei an, die ein Lesezeichen aus einer vorherigen Abfrage enthält. |
| /sbm:<Lesezeichen speichern> | Gibt den Pfad zu einer Datei an, die zum Speichern eines Lesezeichens dieser Abfrage verwendet wird. Die Dateinamenerweiterung sollte XML sein. |
| /rd:<Richtung> | Gibt die Richtung an, in der Ereignisse gelesen werden. <Richtung> kann true oder false sein. Wenn true, werden zuerst die neuesten Ereignisse zurückgegeben. |
| /l:<Gebietsschema> | Definiert eine Gebietsschemazeichenfolge, die zum Drucken von Ereignistext in einem bestimmten Gebietsschema verwendet wird. Nur verfügbar, wenn Ereignisse im Textformat mit der Option /f gedruckt werden. |
| /c:<Anzahl> | Legt die maximale Anzahl der zu lesenden Ereignisse fest. |
| /e:<Element> | Enthält ein Stammelement beim Anzeigen von Ereignissen in XML. <Element> ist die Zeichenfolge, die sie innerhalb des Stammelements benötigen. Beispielsweise würde /e:root zu XML führen, das das Stammelementpaar <Stamm> enthält. |
| /ow:<Überschreiben> | Gibt an, dass die Exportdatei überschrieben werden soll. <Überschreiben> kann true oder false sein. Wenn true und die in <Exportdatei> angegebene Exportdatei bereits vorhanden ist, wird sie ohne Bestätigung überschrieben. |
| /bu:<Sicherung> | Gibt den Pfad zu einer Datei an, in der die gelöschten Ereignisse gespeichert werden. Fügen Sie die Erweiterung EVTX in den Namen der Sicherungsdatei ein. |
| /r:<Remote> | Führt den Befehl auf einem Remotecomputer aus. <Remote> ist der Name des Remotecomputers. Die Parameter im und um unterstützen keinen Remotebetrieb. |
| /u:<Benutzername> | Gibt einen anderen Benutzer an, der sich bei einem Remotecomputer anmelden soll. <Benutzername> ist ein Benutzername im Format „Domäne\Benutzer“ oder „Benutzer“. Diese Option ist nur anwendbar, wenn die Option /r angegeben ist. |
| /p:<Kennwort> | Gibt das Kennwort für den Benutzer an. Wenn die Option /u verwendet wird, und diese Option nicht angegeben ist, oder <Kennwort> den Wert „*“ hat, wird der Benutzer zur Eingabe eines Kennworts aufgefordert. Diese Option ist nur anwendbar, wenn die Option /u angegeben ist. |
| /a:<Authentifizierung> | Definiert den Authentifizierungstyp für die Verbindung mit einem Remotecomputer. <Authentifizierung> kann „Default“, „Negotiate“, „Kerberos“ oder „NTLM“ sein. Der Standardwert ist „Negotiate“. |
| /uni:<Unicode> | Zeigt die Ausgabe in Unicode an. <Unicode> kann true oder false sein. Wenn <Unicode> true ist, erfolgt die Ausgabe in Unicode. |
Bemerkungen
Verwenden einer Konfigurationsdatei mit dem sl-Parameter
Die Konfigurationsdatei ist eine XML-Datei mit demselben Format wie die Ausgabe von „wevtutil gl <Protokollname> /f:xml“. So zeigen Sie das Format einer Konfigurationsdatei an, die die Aufbewahrung aktiviert, die automatische Sicherung aktiviert und die maximale Protokollgröße für das Anwendungsprotokoll festlegt:
<?xml version=1.0 encoding=UTF-8?> <channel name=Application isolation=Application xmlns=https://schemas.microsoft.com/win/2004/08/events> <logging> <retention>true</retention> <autoBackup>true</autoBackup> <maxSize>9000000</maxSize> </logging> <publishing> </publishing> </channel>
Beispiele
Auflisten der Namen aller Protokolle:
wevtutil el
Anzeigen von Konfigurationsinformationen zum Systemprotokoll auf dem lokalen Computer im XML-Format:
wevtutil gl System /f:xml
Verwenden einer Konfigurationsdatei, um Ereignisprotokollattribute festzulegen (ein Beispiel für eine Konfigurationsdatei finden Sie in den „Bemerkungen“):
wevtutil sl /c:config.xml
Anzeigen von Informationen zum Herausgeber des Microsoft-Windows-Eventlog-Ereignisses, einschließlich Metadaten zu den Ereignissen, die der Herausgeber auslösen kann:
wevtutil gp Microsoft-Windows-Eventlog /ge:true
Installieren von Herausgebern und Protokollen aus der Manifestdatei „myManifest.xml“:
wevtutil im myManifest.xml
Deinstallieren von Herausgebern und Protokollen aus der Manifestdatei „myManifest.xml“:
wevtutil um myManifest.xml
Anzeigen der drei neuesten Ereignisse aus dem Anwendungsprotokoll im Textformat an:
wevtutil qe Application /c:3 /rd:true /f:text
Anzeigen des Status des Anwendungsprotokolls:
wevtutil gli Application
Exportieren von Ereignissen aus dem Systemprotokoll nach C:\backup\system0506.evtx:
wevtutil epl System C:\backup\system0506.evtx
Löschen aller Ereignisse aus dem Anwendungsprotokoll, nachdem Sie sie in C:\admin\backups\a10306.evtx gespeichert haben:
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
Archivieren Sie die angegebene Protokolldatei (EVTX) in einem eigenständigen Format. Es wird ein Unterverzeichnis (LocaleMetaData) erstellt, und alle gebietsschemaspezifischen Informationen werden in diesem Unterverzeichnis gespeichert:
wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us