Condividi tramite


wevtutil

Consente di recuperare informazioni su log eventi ed entità di pubblicazione. È anche possibile usare questo comando per installare e disinstallare i manifesti dell'evento, eseguire query ed esportare, archiviare e cancellare i registri.

Sintassi

wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] 
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>] 
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]

Parametri

Parametro Descrizione
{el | enum-logs} Visualizza i nomi di tutti i log.
{gl | get-log} <Logname> [/f:<Format>] Visualizza informazioni di configurazione per il log specificato, incluso il fatto che il log è abilitato o disabilitato, il limite corrente di dimensione massima del log e il percorso del file in cui è archiviato il log.
{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>] Modifica la configurazione del log specificato.
{ep | enum-publishers} Consente di visualizzare gli autori di eventi nel computer locale.
{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] Visualizza le informazioni di configurazione per il server di pubblicazione di eventi specificato.
{im | install-manifest} <Manifesto>
[/{rf | resourceFilePath}:value]
[/{mf | messageFilePath}:value]
[/{pf | parameterFilePath}:value]
Installa gli autori di eventi e log da un manifesto. Per altre informazioni sui manifesti di eventi e sull'uso di questo parametro, vedere Windows Event Log SDK nel sitohttps://msdn.microsoft.com Web Microsoft Developers Network (MSDN). Il valore è il percorso completo del file indicato.
{um | uninstall-manifest} <Manifesto> Disinstalla tutti gli autori e i log da un manifesto. Per altre informazioni sui manifesti di eventi e sull'uso di questo parametro, vedere Windows Event Log SDK nel sitohttps://msdn.microsoft.com Web Microsoft Developers Network (MSDN).
{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>] Legge gli eventi dal log eventi, da un file di log o tramite una query strutturata. Per impostazione predefinita, si specifica un nome di log per <Path>. Tuttavia, se si usa l'opzione /lf , <Path> deve essere un percorso di un file di log. Se si usa il parametro /sq , <Path> deve essere un percorso di un file contenente una query strutturata.
{gli | get-loginfo} <Logname> [/lf:<Logfile>] Visualizza informazioni sullo stato relative a un registro eventi o file di log. Se si usa l'opzione /lf , <Logname> è un percorso di un file di log. È possibile eseguire wevtutil el per ottenere un elenco di nomi di registro.
{epl | export-log} <Path><Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>] Esporta gli eventi dal log eventi da un file di log o utilizzando una query strutturata per il file specificato. Per impostazione predefinita, si specifica un nome di log per <Path>. Tuttavia, se si usa l'opzione /lf , <Path> deve essere un percorso di un file di log. Se si usa l'opzione /sq , <Path> deve essere un percorso di un file contenente una query strutturata. <Exportfile> è un percorso del file in cui verranno archiviati gli eventi esportati.
{al | archive-log} <Logpath> [/l:<Locale>] Consente di archiviare file di log specificato in un formato indipendente. Viene creata una sottodirectory con il nome delle impostazioni locali e tutte le informazioni specifiche delle impostazioni locali vengono salvate in quella sottodirectory. Dopo aver creato il file di log e directory eseguendo wevtutil al, gli eventi nel file possono essere letti se il server di pubblicazione sia installato o meno.
{cl | clear-log} <Logname> [/bu:<Backup>] Cancella eventi dal registro eventi specificato. Il il comando opzione può essere utilizzata per eseguire il backup gli eventi cancellati.

Opzioni

Opzione Descrizione
/f:<Format> Specifica che l'output deve essere nel formato XML o testo. Se <Format> è XML, l'output viene visualizzato in formato XML. Se <Format> è Text, l'output viene visualizzato senza tag XML. Il valore predefinito è testo.
/e:<Enabled> Abilita o disabilita un log. <L'abilitazione> può essere true o false.
/i:<Isolation> Imposta la modalità di isolamento di log. <L'isolamento> può essere di sistema, applicazione o personalizzato. La modalità di isolamento di un log determina se un log condivide una sessione con altri registri nella stessa classe di isolamento. Se si specifica l'isolamento di sistema, il log di destinazione condividono almeno delle autorizzazioni con il Registro di sistema di scrittura. Se si specifica l'isolamento delle applicazioni, i registri di destinazione condividono almeno delle autorizzazioni con il registro applicazioni di scrittura. Se si specifica isolamento personalizzato, è necessario fornire anche un descrittore di sicurezza utilizzando il /ca (opzione).
/lfn:<Logpath> Definisce il nome di file di log. <Logpath> è un percorso completo del file in cui il servizio Registro eventi archivia gli eventi per questo log.
/rt:<Retention> Imposta la modalità di conservazione dei log. <La conservazione> può essere true o false. La modalità di memorizzazione log determina il comportamento del servizio Registro eventi quando un registro raggiunge la dimensione massima. Se un registro eventi raggiunge le dimensioni massime e la modalità di conservazione del log è true, gli eventi esistenti vengono mantenuti e gli eventi in ingresso vengono eliminati. Se la modalità di conservazione dei log è false, gli eventi in ingresso sovrascriveranno gli eventi meno recenti nel registro.
/ab:<Auto> Specifica i criteri di backup automatico di log. <Auto> può essere true o false. Se questo valore è true, il log verrà eseguito il automaticamente quando viene raggiunta la dimensione massima. Se questo valore è true, il periodo di conservazione (specificata con il /rt opzione) deve essere impostata su true.
/ms:<MaxSize> Imposta la dimensione massima del log in byte. Le dimensioni del log minimo sono 1048576 byte (1024KB) e i file di log vengono sempre multipli di 64KB, pertanto il valore immesso verrà arrotondata conseguenza.
/l:<Level> Definisce il filtro del livello del log. <Il livello> può essere qualsiasi valore di livello valido. Questa opzione è applicabile solo file di log con una sessione dedicata. È possibile rimuovere un filtro a livello impostando <Il livello> su 0.
/k:<Keywords> Specifica il filtro di parole chiave del registro. <Le> parole chiave possono essere qualsiasi maschera di parole chiave a 64 bit valida. Questa opzione è applicabile solo file di log con una sessione dedicata.
/ca:<Channel> Imposta l'autorizzazione di accesso per un log eventi. <Channel> è un descrittore di sicurezza che usa il linguaggio SDDL (Security Descriptor Definition Language). Per altre informazioni sul formato SDDL, vedere il sito Web Msdn (Microsoft Developers Network) (https://msdn.microsoft.com).
/c:<Config> Specifica il percorso di un file di configurazione. Questa opzione causerà la lettura delle proprietà del log dal file di configurazione definito in <Config>. Se si usa questa opzione, non è necessario specificare un <parametro Logname> . Il nome del log verrà letto dal file di configurazione.
/ge:<Metadata> Ottiene informazioni sui metadati per gli eventi generati dal server di pubblicazione. <I metadati> possono essere true o false.
/gm:<Message> Viene visualizzato il messaggio effettivo anziché l'ID messaggio numerico. <Il messaggio> può essere true o false.
/lf:<Logfile> Specifica che gli eventi devono essere letti da un log o da un file di log. <Il file di log> può essere true o false. Se true, il parametro per il comando è il percorso di un file di log.
/sq:<Structquery> Specifica che gli eventi devono essere ottenuti con una query strutturata. <Structquery> può essere true o false. Se true, <Path> è il percorso di un file contenente una query strutturata.
/q:<Query> Definisce la query XPath per filtrare gli eventi che vengono lette o esportati. Se questa opzione non è specificata, verranno restituiti tutti gli eventi o esportati. Questa opzione non è disponibile quando /sq è true.
/bm:<Bookmark> Specifica il percorso di un file che contiene un segnalibro da una query precedente.
/sbm:<Savebm> Specifica il percorso di un file che viene utilizzato per salvare un segnalibro di questa query. L'estensione del nome file deve essere XML.
/rd:<Direction> Specifica la direzione in cui gli eventi vengono letti. <La direzione> può essere true o false. Se true, gli eventi più recenti vengono restituiti per primi.
/l:<Locale> Definisce una stringa di impostazioni locali che consente di stampare testo dell'evento in una lingua specifica. Disponibile solo durante la stampa di eventi in formato testo tramite il /f (opzione).
/c:<Count> Imposta il numero massimo di eventi da leggere.
/e:<Element> Include un elemento radice per la visualizzazione di eventi in formato XML. <L'elemento> è la stringa desiderata all'interno dell'elemento radice. Ad esempio, /e:root genera codice XML contenente la radice della coppia <di elementi radice>.
/ow:<Overwrite> Specifica che il file di esportazione deve essere sovrascritti. <La sovrascrittura> può essere true o false. Se true e il file di esportazione specificato in <Exportfile> esiste già, verrà sovrascritto senza conferma.
/bu:<Backup> Specifica il percorso in un file in cui verranno archiviati gli eventi cancellati. Includere l'estensione evtx nel nome del file di backup.
/r:<Remote> Esegue il comando in un computer remoto. <Remote> è il nome del computer remoto. Il im e um parametri non supportano l'operazione in modalità remota.
/u:<Username> Specifica un utente diverso per accedere a un computer remoto. <Il nome utente> è un nome utente nel formato dominio\utente o utente. Questa opzione è applicabile solo quando il /r opzione specificata.
/p:<Password> Specifica la password per l'utente. Se viene usata l'opzione /u e questa opzione non è specificata o <Password> è *, all'utente verrà richiesto di immettere una password. Questa opzione è applicabile solo quando il /u opzione specificata.
/a:<Auth> Definisce il tipo di autenticazione per la connessione a un computer remoto. <L'autenticazione> può essere Default, Negotiate, Kerberos o NTLM. Il valore predefinito è Negotiate.
/uni:<Unicode> Visualizza l'output in formato Unicode. <Unicode> può essere true o false. Se <Unicode> è true, l'output è in Unicode.

Osservazioni:

  • Utilizzo di un file di configurazione con il parametro sl

    Il file di configurazione è un file XML con lo stesso formato dell'output di wevtutil gl <Logname> /f:xml. Per visualizzare il formato di un file di configurazione che abilita la conservazione, abilita il backup automatico e imposta le dimensioni massime del log nel log applicazioni:

    <?xml version=1.0 encoding=UTF-8?>
    <channel name=Application isolation=Application
    xmlns=https://schemas.microsoft.com/win/2004/08/events>
    <logging>
    <retention>true</retention>
    <autoBackup>true</autoBackup>
    <maxSize>9000000</maxSize>
    </logging>
    <publishing>
    </publishing>
    </channel>
    

Esempi

Elencare i nomi di tutti i log:

wevtutil el

Visualizzare informazioni di configurazione nel Registro di sistema del computer locale in formato XML:

wevtutil gl System /f:xml

Utilizzare un file di configurazione per gli attributi del registro eventi di set (vedere la sezione Osservazioni per un esempio di un file di configurazione):

wevtutil sl /c:config.xml

Visualizzare informazioni sull'autore di eventi Microsoft-Windows-Eventlog, inclusi i metadati sugli eventi in grado di generare il server di pubblicazione:

wevtutil gp Microsoft-Windows-Eventlog /ge:true

Installare i server di pubblicazione e i registri dal file manifesto XML:

wevtutil im myManifest.xml

Disinstallare autori e i registri dal file manifesto XML:

wevtutil um myManifest.xml

Visualizzare i tre eventi più recenti nel registro applicazioni in formato testuale:

wevtutil qe Application /c:3 /rd:true /f:text

Per visualizzare lo stato del registro applicazioni:

wevtutil gli Application

Esportare gli eventi dal Registro di sistema per C:\backup\system0506.evtx:

wevtutil epl System C:\backup\system0506.evtx

Cancellare tutti gli eventi nel registro applicazioni dopo averle salvate C:\admin\backups\a10306.evtx:

wevtutil cl Application /bu:C:\admin\backups\a10306.evtx

Archiviare il file di log specificato (con estensione evtx) in un formato autonomo. Viene creata una sottodirectory (LocaleMetaData) e tutte le informazioni specifiche delle impostazioni locali vengono salvate in tale sottodirectory:

wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us