Baca dalam bahasa Inggris

Bagikan melalui

wevtutil

Memungkinkan Anda mengambil informasi tentang log peristiwa dan penerbit. Anda juga dapat menggunakan perintah ini untuk menginstal dan menghapus instalan manifes peristiwa, untuk menjalankan kueri, dan untuk mengekspor, mengarsipkan, dan menghapus log.

Sintaks

wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] 
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>] 
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]

Parameter

Parameter Deskripsi
{el | enum-logs} Menampilkan nama semua log.
{gl | get-log} <Nama log> [/f:<Format>] Menampilkan informasi konfigurasi untuk log yang ditentukan, yang mencakup apakah log diaktifkan atau tidak, batas ukuran maksimum log saat ini, dan jalur ke file tempat log disimpan.
{sl | set-log} <Nama> log [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>] Memodifikasi konfigurasi log yang ditentukan.
{ep | enum-publishers} Menampilkan penerbit peristiwa pada komputer lokal.
{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] Menampilkan informasi konfigurasi untuk penerbit peristiwa yang ditentukan.
{im | install-manifest} <Mewujudkan>
[/{rf | resourceFilePath}:value]
[/{mf | messageFilePath}:value]
[/{pf | parameterFilePath}:value]		 Menginstal penerbit peristiwa dan log dari manifes. Untuk informasi selengkapnya tentang manifes peristiwa dan menggunakan parameter ini, lihat Windows Event Log SDK di situs Web Microsoft Developers Network (MSDN) (https://msdn.microsoft.com). Nilainya adalah jalur lengkap ke file yang disebutkan.
{um | uninstall-manifest} <Mewujudkan> Menghapus instalan semua penerbit dan log dari manifes. Untuk informasi selengkapnya tentang manifes peristiwa dan menggunakan parameter ini, lihat Windows Event Log SDK di situs Web Microsoft Developers Network (MSDN) (https://msdn.microsoft.com).
{qe | query-events} <Jalur> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>] Membaca peristiwa dari log peristiwa, dari file log, atau menggunakan kueri terstruktur. Secara default, Anda memberikan nama log untuk <Jalur>. Namun, jika Anda menggunakan opsi /lf , maka <Jalur> harus menjadi jalur ke file log. Jika Anda menggunakan parameter /sq , <Jalur> harus berupa jalur ke file yang berisi kueri terstruktur.
{gli | get-loginfo} <Nama log> [/lf:<Logfile>] Menampilkan informasi status tentang log peristiwa atau file log. Jika opsi /lf digunakan, <Logname> adalah jalur ke file log. Anda dapat menjalankan wevtutil el untuk mendapatkan daftar nama log.
{epl | export-log} <Path><Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>] Mengekspor peristiwa dari log peristiwa, dari file log, atau menggunakan kueri terstruktur ke file yang ditentukan. Secara default, Anda memberikan nama log untuk <Jalur>. Namun, jika Anda menggunakan opsi /lf , maka <Jalur> harus menjadi jalur ke file log. Jika Anda menggunakan opsi /sq , <Jalur> harus berupa jalur ke file yang berisi kueri terstruktur. <Exportfile> adalah jalur ke file tempat peristiwa yang diekspor akan disimpan.
{al | archive-log} <Logpath> [/l:<Locale>] Mengarsipkan file log yang ditentukan dalam format mandiri. Subdirektori dengan nama lokal dibuat dan semua informasi khusus lokal disimpan dalam subdirektori tersebut. Setelah direktori dan file log dibuat dengan menjalankan wevtutil al, peristiwa dalam file dapat dibaca apakah penerbit diinstal atau tidak.
{cl | clear-log} <Nama log> [/bu:<Backup>] Menghapus peristiwa dari log peristiwa yang ditentukan. Opsi /bu dapat digunakan untuk mencadangkan peristiwa yang dibersihkan.

Opsi

Opsi Deskripsi
/f:<Format> Menentukan bahwa output harus berupa XML atau format teks. Jika <Format> adalah XML, output ditampilkan dalam format XML. Jika <Format> adalah Teks, output ditampilkan tanpa tag XML. Standarnya adalah Teks.
/e:<Diaktifkan> Mengaktifkan atau menonaktifkan log. <Diaktifkan> bisa benar atau salah.
/i:<Isolation> Mengatur mode isolasi log. <Isolasi> dapat berupa sistem, aplikasi, atau kustom. Mode isolasi log menentukan apakah log berbagi sesi dengan log lain di kelas isolasi yang sama. Jika Anda menentukan isolasi sistem, log target akan berbagi setidaknya izin tulis dengan log Sistem. Jika Anda menentukan isolasi aplikasi, log target akan berbagi setidaknya izin tulis dengan log Aplikasi. Jika Anda menentukan isolasi kustom, Anda juga harus menyediakan deskriptor keamanan dengan menggunakan opsi /ca .
/lfn:<Logpath> Menentukan nama file log. <Logpath> adalah jalur lengkap ke file tempat layanan Log Peristiwa menyimpan peristiwa untuk log ini.
/rt:<Retensi> Mengatur mode retensi log. <Retensi> bisa benar atau salah. Mode retensi log menentukan perilaku layanan Log Peristiwa saat log mencapai ukuran maksimumnya. Jika log peristiwa mencapai ukuran maksimumnya dan mode retensi log benar, peristiwa yang ada dipertahankan, dan peristiwa masuk dibuang. Jika mode retensi log salah, peristiwa masuk menimpa peristiwa terlama di log.
/ab:<Auto> Menentukan kebijakan pencadangan otomatis log. <Otomatis> bisa benar atau salah. Jika nilai ini benar, log akan dicadangkan secara otomatis ketika mencapai ukuran maksimum. Jika nilai ini benar, retensi (ditentukan dengan opsi /rt ) juga harus diatur ke true.
/ms:<MaxSize> Mengatur ukuran maksimum byte masuk. Ukuran log minimum 1048576 byte (1024KB) dan file log selalu kelipatan 64KB, sehingga nilai yang Anda masukkan akan dibulatkan sesuai.
/l:<Level> Menentukan filter tingkat log. <Tingkat> dapat berupa nilai tingkat yang valid. Opsi ini hanya berlaku untuk log dengan sesi khusus. Anda dapat menghapus filter tingkat dengan mengatur <Tingkat> ke 0.
/k:<Kata kunci> Menentukan filter kata kunci log. <> Kata kunci dapat berupa masker kata kunci 64-bit yang valid. Opsi ini hanya berlaku untuk log dengan sesi khusus.
/ca:<Channel> Mengatur izin akses untuk log peristiwa. <Saluran> adalah deskriptor keamanan yang menggunakan Security Descriptor Definition Language (SDDL). Untuk informasi selengkapnya tentang format SDDL, lihat situs Web Microsoft Developers Network (MSDN) (https://msdn.microsoft.com).
/c:<Config> Menentukan jalur ke file konfigurasi. Opsi ini akan menyebabkan properti log dibaca dari file konfigurasi yang ditentukan dalam <Konfigurasi>. Jika Anda menggunakan opsi ini, Anda tidak boleh menentukan <parameter Logname> . Nama log akan dibaca dari file konfigurasi.
/ge:<Metadata> Mendapatkan informasi metadata untuk peristiwa yang dapat dimunculkan oleh penerbit ini. <Metadata> bisa benar atau salah.
/gm:<Message> Menampilkan pesan aktual alih-alih ID pesan numerik. <Pesan> bisa benar atau salah.
/lf:<Logfile> Menentukan bahwa peristiwa harus dibaca dari log atau dari file log. <Logfile> bisa benar atau salah. Jika true, parameter ke perintah adalah jalur ke file log.
/sq:<Structquery> Menentukan bahwa peristiwa harus diperoleh dengan kueri terstruktur. <Structquery> bisa benar atau salah. Jika true, <Jalur> adalah jalur ke file yang berisi kueri terstruktur.
/q:<Query> Menentukan kueri XPath untuk memfilter peristiwa yang dibaca atau diekspor. Jika opsi ini tidak ditentukan, semua peristiwa akan dikembalikan atau diekspor. Opsi ini tidak tersedia ketika /sq benar.
/bm:<Bookmark> Menentukan jalur ke file yang berisi bookmark dari kueri sebelumnya.
/sbm:<Savebm> Menentukan jalur ke file yang digunakan untuk menyimpan bookmark kueri ini. Ekstensi nama file harus .xml.
/rd:<Direction> Menentukan arah di mana peristiwa dibaca. <Arah> bisa benar atau salah. Jika true, peristiwa terbaru dikembalikan terlebih dahulu.
/l:<Locale> Menentukan string lokal yang digunakan untuk mencetak teks peristiwa dalam lokal tertentu. Hanya tersedia saat mencetak peristiwa dalam format teks menggunakan opsi /f .
/c:<Count> Mengatur jumlah maksimum peristiwa yang akan dibaca.
/e:<Element> Menyertakan elemen akar saat menampilkan peristiwa di XML. <Elemen> adalah string yang Anda inginkan dalam elemen root. Misalnya, /e:root akan menghasilkan XML yang berisi akar pasangan <elemen akar>.
/ow:<Overwrite> Menentukan bahwa file ekspor harus ditimpa. <Timpa> bisa benar atau salah. Jika true, dan file ekspor yang ditentukan dalam <Exportfile> sudah ada, file tersebut akan ditimpa tanpa konfirmasi.
/bu:<Backup> Menentukan jalur ke file tempat peristiwa yang dibersihkan akan disimpan. Sertakan ekstensi .evtx dalam nama file cadangan.
/r:<Remote> Menjalankan perintah pada komputer jarak jauh. <Jarak jauh> adalah nama komputer jarak jauh. Parameter im dan um tidak mendukung operasi jarak jauh.
/u:<Nama pengguna> Menentukan pengguna lain untuk masuk ke komputer jarak jauh. <Nama> pengguna adalah nama pengguna dalam domain formulir\pengguna atau pengguna. Opsi ini hanya berlaku ketika opsi /r ditentukan.
/p:<Password> Menentukan kata sandi untuk pengguna. Jika opsi /u digunakan dan opsi ini tidak ditentukan atau <Kata Sandi> *, pengguna akan diminta untuk memasukkan kata sandi. Opsi ini hanya berlaku ketika opsi /u ditentukan.
/a:<Auth> Menentukan tipe autentikasi untuk menyambungkan ke komputer jarak jauh. <Auth> dapat berupa Default, Negosiasi, Kerberos, atau NTLM. Defaultnya adalah Negosiasi.
/uni:<Unicode> Menampilkan output di Unicode. <Unicode> bisa benar atau salah. Jika <Unicode> benar maka output berada di Unicode.

Keterangan

  • Menggunakan file konfigurasi dengan parameter sl

    File konfigurasi adalah file XML dengan format yang sama dengan output wevtutil gl <Logname> /f:xml. Untuk memperlihatkan format file konfigurasi yang mengaktifkan retensi, mengaktifkan pencadangan otomatis, dan mengatur ukuran log maksimum pada log Aplikasi:

    <?xml version=1.0 encoding=UTF-8?>
<channel name=Application isolation=Application
xmlns=https://schemas.microsoft.com/win/2004/08/events>
<logging>
<retention>true</retention>
<autoBackup>true</autoBackup>
<maxSize>9000000</maxSize>
</logging>
<publishing>
</publishing>
</channel>

Contoh

Cantumkan nama semua log:

wevtutil el

Tampilkan informasi konfigurasi tentang log Sistem pada komputer lokal dalam format XML:

wevtutil gl System /f:xml

Gunakan file konfigurasi untuk mengatur atribut log peristiwa (lihat Keterangan untuk contoh file konfigurasi):

wevtutil sl /c:config.xml

Tampilkan informasi tentang penerbit peristiwa Microsoft-Windows-Eventlog, termasuk metadata tentang peristiwa yang dapat dimunculkan penerbit:

wevtutil gp Microsoft-Windows-Eventlog /ge:true

Instal penerbit dan log dari file manifes myManifest.xml:

wevtutil im myManifest.xml

Hapus instalan penerbit dan log dari file manifes myManifest.xml:

wevtutil um myManifest.xml

Tampilkan tiga peristiwa terbaru dari log Aplikasi dalam format tekstual:

wevtutil qe Application /c:3 /rd:true /f:text

Tampilkan status log Aplikasi:

wevtutil gli Application

Ekspor peristiwa dari log Sistem ke C:\backup\system0506.evtx:

wevtutil epl System C:\backup\system0506.evtx

Hapus semua peristiwa dari log Aplikasi setelah menyimpannya ke C:\admin\backups\a10306.evtx:

wevtutil cl Application /bu:C:\admin\backups\a10306.evtx

Arsipkan file log (.evtx) yang ditentukan dalam format mandiri. Subdirektori (LocaleMetaData) dibuat dan semua informasi khusus lokal disimpan dalam subdirektori tersebut:

wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us