Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Lehetővé teszi az eseménynaplók és közzétevők adatainak lekérését. Ezzel a paranccsal eseményjegyzékeket telepíthet és távolíthat el, lekérdezéseket futtathat, naplókat exportálhat, archiválhat és törölhet.
Szemantika
wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]]
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]
Paraméterek
| Paraméter | Leírás |
|---|---|
| {el | enum-logs} | Megjeleníti az összes napló nevét. |
| {gl | get-log} <Naplónév> [/f:<Formátum>] | Megjeleníti a megadott napló konfigurációs adatait, beleértve azt is, hogy a napló engedélyezve van-e vagy sem, a napló aktuális maximális méretkorlátját, valamint a naplót tároló fájl elérési útját. |
| {sl | set-log} <Naplónév> [/e:<Engedélyezve>] [/i:<Elkülönítés>] [/lfn:<Logpath>] [/rt:<Megőrzés>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Kulcsszavak>] [/ca:<Csatorna>] [/c:<Config>] | Módosítja a megadott napló konfigurációját. |
| {ep | enum-publishers} | Megjeleníti az esemény közzétevőit a helyi számítógépen. |
| {gp | get-publisher} <Közzétevőnév> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] | Megjeleníti a megadott esemény közzétevőjének konfigurációs adatait. |
| {im | install-manifest} <Kimutat> [/{rf | resourceFilePath}:érték] [/{mf | messageFilePath}:érték] [/{pf | parameterFilePath}:érték] |
Esemény közzétevőit és naplóit telepíti egy jegyzékből. Az eseményjegyzékekről és a paraméter használatáról további információt a Microsoft Developers Network (MSDN) webhelyén található Windows Eseménynapló SDK-jában talál.https://msdn.microsoft.com Az érték az említett fájl teljes elérési útja. |
| {um | uninstall-manifest} <Kimutat> | Eltávolítja az összes közzétevőt és naplót egy jegyzékből. Az eseményjegyzékekről és a paraméter használatáról további információt a Microsoft Developers Network (MSDN) webhelyén található Windows Eseménynapló SDK-jában talál.https://msdn.microsoft.com |
| {qe | query-events} <Elérési út> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>] | Eseményeket olvas be egy eseménynaplóból, egy naplófájlból vagy egy strukturált lekérdezésből. Alapértelmezés szerint meg kell adnia egy naplónevet az Elérési úthoz<>. Ha azonban a /lf lehetőséget használja, akkor <az elérési útnak> egy naplófájl elérési útjának kell lennie. Ha a /sq paramétert használja, <az elérési útnak> strukturált lekérdezést tartalmazó fájl elérési útjának kell lennie. |
| {gli | get-loginfo} <Naplónév> [/lf:<Logfile>] | Eseménynaplóval vagy naplófájllal kapcsolatos állapotinformációkat jelenít meg. Ha a /lf lehetőséget használja, <a Logname> egy naplófájl elérési útja. A naplónevek listájának lekéréséhez futtassa a wevtutil el parancsot. |
| {EPL | export-log} <Elérési út><Exportfájl> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>] | Események exportálása eseménynaplóból, naplófájlból vagy strukturált lekérdezés használatával a megadott fájlba. Alapértelmezés szerint meg kell adnia egy naplónevet az Elérési úthoz<>. Ha azonban a /lf lehetőséget használja, akkor <az elérési útnak> egy naplófájl elérési útjának kell lennie. Ha a /sq lehetőséget használja, <az elérési útnak> strukturált lekérdezést tartalmazó fájl elérési útjának kell lennie. <Az exportfile> annak a fájlnak az elérési útja, amelyben az exportált eseményeket tárolni fogja. |
| {al | archive-log} <Logpath> [/l:<Területi beállítás>] | A megadott naplófájlt önálló formátumban archiválja. Létrejön egy alkönyvtár a területi beállítás nevével, és az összes területi információ ebben az alkönyvtárban lesz mentve. Miután a könyvtárat és a naplófájlt a wevtutil al futtatásával hozta létre, a fájl eseményei beolvashatók, hogy telepítve van-e a közzétevő. |
| {cl | clear-log} <Naplónév> [/bu:<Backup>] | Törli az eseményeket a megadott eseménynaplóból. A /bu beállítással biztonsági másolatot készíthet a törölt eseményekről. |
Beállítások
| Lehetőség | Leírás |
|---|---|
| /f:<Formátum> | Megadja, hogy a kimenetnek XML- vagy szövegformátumúnak kell lennie. Ha <a formátum> XML, a kimenet XML formátumban jelenik meg. Ha <a Formátum> szöveg, a kimenet XML-címkék nélkül jelenik meg. Az alapértelmezett szöveg. |
| /e:<Engedélyezve> | Napló engedélyezése vagy letiltása. < > Az engedélyezve lehet igaz vagy hamis. |
| /i:<Elkülönítés> | Beállítja a naplóelkülönítési módot. <Az elkülönítés> lehet rendszer, alkalmazás vagy egyéni. A naplók elkülönítési módja határozza meg, hogy a naplók megosztanak-e munkamenetet más naplókkal ugyanabban az elkülönítési osztályban. Ha rendszerelkülönítést ad meg, a célnapló legalább írási engedélyeket oszt meg a rendszernaplóval. Ha alkalmazáselkülönítést ad meg, a célnapló legalább írási engedélyeket oszt meg az alkalmazásnaplóval. Ha egyéni elkülönítést ad meg, a /ca beállítással biztonsági leírót is meg kell adnia. |
| /lfn:<LogÚtvonal> | Meghatározza a naplófájl nevét. <A Logpath> annak a fájlnak a teljes elérési útja, amelyben az Eseménynapló szolgáltatás tárolja a napló eseményeit. |
| /rt:<Adatmegőrzés> | Beállítja a naplómegőrzési módot. <A megőrzés> lehet igaz vagy hamis. A naplómegőrzési mód határozza meg az Eseménynapló szolgáltatás viselkedését, amikor egy napló eléri a maximális méretét. Ha egy eseménynapló eléri a maximális méretét, és a naplómegőrzési mód igaz, a rendszer megőrzi a meglévő eseményeket, és elveti a bejövő eseményeket. Ha a naplómegőrzési mód hamis, a bejövő események felülírják a napló legrégebbi eseményeit. |
| /ab:<Automatikus> | A napló automatikus biztonsági mentési szabályzatát adja meg. <Az automatikus> érték lehet igaz vagy hamis. Ha ez az érték igaz, a rendszer automatikusan biztonsági másolatot készít a naplóról, amikor eléri a maximális méretet. Ha ez az érték igaz, az adatmegőrzést (az /rt beállítással megadva) is igaz értékre kell állítani. |
| /ms:<MaxSize> | A napló maximális méretét bájtban állítja be. A minimális naplóméret 1048576 bájt (1024 KB), és a naplófájlok mindig 64 KB többszörösei, ezért a megadott érték ennek megfelelően lesz kerekítve. |
| /l:<Szint> | A napló szintszűrőjének meghatározása. <A szint> bármilyen érvényes szintérték lehet. Ez a beállítás csak a dedikált munkamenettel rendelkező naplókra vonatkozik. A szintszűrőt úgy távolíthatja el, hogy 0-ra állítja <a szintet> . |
| /k:<Kulcsszavak> | A napló kulcsszavak szűrőjének megadása. <A kulcsszavak> lehetnek érvényes 64 bites kulcsszómaszkok. Ez a beállítás csak a dedikált munkamenettel rendelkező naplókra vonatkozik. |
| /ca:<Csatorna> | Beállítja az eseménynapló hozzáférési engedélyét. <A Channel> egy biztonsági leíró, amely a Security Descriptor Definition Language (SDDL) nyelvet használja. Az SDDL formátumával kapcsolatos további információkért lásd a Microsoft Developers Network (MSDN) webhelyét (https://msdn.microsoft.com). |
| /c:<Konfiguráció> | Megadja a konfigurációs fájl elérési útját. Ez a beállítás azt eredményezi, hogy a naplótulajdonságok beolvashatók a konfigurációban meghatározott konfigurációs< fájlból>. Ha ezt a lehetőséget használja, nem szabad logname< paramétert >megadnia. A rendszer beolvassa a naplónevet a konfigurációs fájlból. |
| /ge:<Metaadatok> | Lekéri a közzétevő által létrehozható események metaadatait. <A metaadatok> lehetnek igazak vagy hamisak. |
| /gm:<Üzenet> | A numerikus üzenetazonosító helyett a tényleges üzenetet jeleníti meg. <Az üzenet> lehet igaz vagy hamis. |
| /lf:<Naplófájl> | Megadja, hogy az eseményeket naplóból vagy naplófájlból kell olvasni. < > A naplófájl lehet igaz vagy hamis. Ha igaz, a parancs paramétere egy naplófájl elérési útja. |
| /sq:<Structquery> | Azt határozza meg, hogy az eseményeket strukturált lekérdezéssel kell beszerezni. <A struktúra> lehet igaz vagy hamis. Ha igaz, <az elérési út> egy strukturált lekérdezést tartalmazó fájl elérési útja. |
| /q:<Lekérdezés> | Meghatározza az XPath-lekérdezést az olvasott vagy exportált események szűréséhez. Ha ez a beállítás nincs megadva, a rendszer minden eseményt visszaad vagy exportál. Ez a beállítás nem érhető el, ha a /sq értéke igaz. |
| /bm:<Könyvjelző> | Egy korábbi lekérdezés könyvjelzőit tartalmazó fájl elérési útját adja meg. |
| /sbm:<Mentés> | Megadja a lekérdezés könyvjelzőjének mentéséhez használt fájl elérési útját. A fájlnévkiterjesztésnek .xmlkell lennie. |
| /rd:<Irány> | Meghatározza az események olvasási irányát. <Az irány> lehet igaz vagy hamis. Ha igaz, a rendszer a legutóbbi eseményeket adja vissza először. |
| /l:<Területi beállítás> | Meghatároz egy területi sztringet, amely egy adott területi beállítás eseményszövegének nyomtatására szolgál. Csak akkor érhető el, ha az eseményeket szöveges formátumban nyomtatja az /f beállítással. |
| /c:<Darabszám> | Az elolvasandó események maximális számát állítja be. |
| /e:<Elem> | Tartalmaz egy gyökérelemet, amikor eseményeket jelenít meg XML-ben. <Az elem> az a sztring, amelyet a gyökérelemen belül szeretne használni. A /e:root például olyan XML-t eredményezne, amely tartalmazza a gyökérelem-pár <gyökérét>. |
| /ow:<Felülírás> | Megadja, hogy az exportálási fájlt felül kell írni. <A felülírás> lehet igaz vagy hamis. Ha igaz, és az Exportfile-ban <> megadott exportálási fájl már létezik, a program megerősítés nélkül felülírja. |
| /bu:<Biztonsági mentés> | Megadja a törölt események tárolására szolgáló fájl elérési útját. Adja meg az .evtx kiterjesztést a biztonsági mentési fájl nevében. |
| /r:<Távoli> | Futtatja a parancsot egy távoli számítógépen. <A Távoli> a távoli számítógép neve. Az im és um paraméterek nem támogatják a távoli műveletet. |
| /u:<Felhasználónév> | Egy másik felhasználót ad meg, aki bejelentkezik egy távoli számítógépre. <A felhasználónév> egy felhasználónév az űrlaptartományban\felhasználó vagy felhasználó. Ez a beállítás csak akkor alkalmazható, ha az /r beállítás meg van adva. |
| /p:<Jelszó> | Megadja a felhasználó jelszavát. Ha a /u lehetőséget használja, és ez a beállítás nincs megadva, vagy <a Jelszó> *, a rendszer kéri a felhasználót, hogy adjon meg jelszót. Ez a beállítás csak akkor alkalmazható, ha a /u beállítás meg van adva. |
| /a:<Hitelesítés> | Meghatározza a távoli számítógéphez való csatlakozás hitelesítési típusát. <A hitelesítés> lehet alapértelmezett, Egyeztetés, Kerberos vagy NTLM. Az alapértelmezett egyeztetés az Egyeztetés. |
| /uni:<Unicode> | Megjeleníti a kimenetet Unicode-ban. <A Unicode> lehet igaz vagy hamis. Ha <a Unicode> igaz, akkor a kimenet Unicode-ban van. |
Megjegyzések
Konfigurációs fájl használata az sl paraméterrel
A konfigurációs fájl egy olyan XML-fájl, amelynek formátuma megegyezik a wevtutil gl <Logname> /f:xml kimenetével. Ha meg szeretné jeleníteni a megőrzést lehetővé tevő konfigurációs fájl formátumát, engedélyezi az automatikus visszaállítást, és beállítja a napló maximális méretét az alkalmazásnaplóban:
<?xml version=1.0 encoding=UTF-8?> <channel name=Application isolation=Application xmlns=https://schemas.microsoft.com/win/2004/08/events> <logging> <retention>true</retention> <autoBackup>true</autoBackup> <maxSize>9000000</maxSize> </logging> <publishing> </publishing> </channel>
Példák
Az összes napló nevének listázása:
wevtutil el
A rendszernapló konfigurációs adatainak megjelenítése a helyi számítógépen XML formátumban:
wevtutil gl System /f:xml
Eseménynapló-attribútumok beállításához használjon konfigurációs fájlt (lásd egy konfigurációs fájl példájának megjegyzéseit):
wevtutil sl /c:config.xml
A MicrosoftWindows-Eventlog esemény közzétevőjének adatainak megjelenítése, beleértve a közzétevő által létrehozható események metaadatait:
wevtutil gp Microsoft-Windows-Eventlog /ge:true
Közzétevők és naplók telepítése a myManifest.xml jegyzékfájlból:
wevtutil im myManifest.xml
Távolítsa el a közzétevőket és naplókat a myManifest.xml jegyzékfájlból:
wevtutil um myManifest.xml
Az alkalmazásnapló három legutóbbi eseményének megjelenítése szöveges formátumban:
wevtutil qe Application /c:3 /rd:true /f:text
Az alkalmazásnapló állapotának megjelenítése:
wevtutil gli Application
Események exportálása a rendszernaplóból a C:\backup\system0506.evtx fájlba:
wevtutil epl System C:\backup\system0506.evtx
Törölje az összes eseményt az alkalmazásnaplóból, miután a C:\admin\backups\a10306.evtx fájlba mentette őket:
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
Archiválja a megadott (.evtx) naplófájlt önálló formátumban. Létrejön egy alkönyvtár (LocaleMetaData), és az összes területi információ ebben az alkönyvtárban lesz mentve:
wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us