Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Consente di recuperare informazioni sui log eventi e sui server di pubblicazione. È anche possibile usare questo comando per installare e disinstallare manifesti eventi, per eseguire query e per esportare, archiviare e cancellare i log.
Sintassi
wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]]
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]
Parametri
| Parametro | Descrizione |
|---|---|
| {el | enum-logs} | Visualizza i nomi di tutti i log. |
| {gl | get-log} <Nome registro> [/f:<Formato>] | Visualizza le informazioni di configurazione per il log specificato, che include se il log è abilitato o meno, il limite di dimensioni massime corrente del log e il percorso del file in cui è archiviato il log. |
| {sl | set-log} <Nome registro> [/e:<Abilitato>] [/i:<Isolamento>] [/lfn:<Percorso> di registro>] [/rt:<Conservazione] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Livello>] [/k:<Parole> chiave] [/ca:<Canale>] [/c:<Config>] | Modifica la configurazione del log specificato. |
| {ep | enum-publishers} | Visualizza gli editori di eventi nel computer locale. |
| {gp | get-publisher} <Nome editore> [/ge:<Metadati>] [/gm:<Messaggio>] [/f:<Formato>]] | Visualizza le informazioni di configurazione per il server di pubblicazione eventi specificato. |
| {im | install-manifest} <Manifesto> [/{rf | resourceFilePath}:valore] [/{mf | messageFilePath}:valore] [/{pf | parameterFilePath}:valore] |
Installa gli autori di eventi e i log da un manifesto. Per altre informazioni sui manifesti di eventi e sull'uso di questo parametro, vedere Windows Event Log SDK nel sitohttps://msdn.microsoft.com Web Microsoft Developers Network (MSDN). Il valore è il percorso completo del file indicato. |
| {um | uninstall-manifest} <Manifesto> | Disinstalla tutti gli editori e i log da un manifesto. Per altre informazioni sui manifesti di eventi e sull'uso di questo parametro, vedere Windows Event Log SDK nel sitohttps://msdn.microsoft.com Web Microsoft Developers Network (MSDN). |
| {qe | eventi-query} <Percorso> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>] | Legge gli eventi da un registro eventi, da un file di log o tramite una query strutturata. Per impostazione predefinita, si specifica un nome di log per <Path>. Tuttavia, se si usa l'opzione /lf , <Path> deve essere un percorso di un file di log. Se si usa il parametro /sq , <Path> deve essere un percorso di un file contenente una query strutturata. |
| {gli | get-loginfo} <Nome registro> [/lf:<File di registro>] | Visualizza le informazioni sullo stato relative a un log eventi o a un file di log. Se si usa l'opzione /lf , <Logname> è un percorso di un file di log. È possibile eseguire wevtutil el per ottenere un elenco di nomi di log. |
| {epl | log-di-esportazione} <Percorso><Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>] | Esporta eventi da un registro eventi, da un file di log o usando una query strutturata nel file specificato. Per impostazione predefinita, si specifica un nome di log per <Path>. Tuttavia, se si usa l'opzione /lf , <Path> deve essere un percorso di un file di log. Se si usa l'opzione /sq , <Path> deve essere un percorso di un file contenente una query strutturata. <Exportfile> è un percorso del file in cui verranno archiviati gli eventi esportati. |
| {al | archivio-log} <Logpath> [/l:<Locale>] | Archivia il file di log specificato in un formato autonomo. Viene creata una sottodirectory con il nome delle impostazioni locali e tutte le informazioni specifiche delle impostazioni locali vengono salvate in tale sottodirectory. Dopo aver creato la directory e il file di log eseguendo wevtutil al, gli eventi nel file possono essere letti se il server di pubblicazione è installato o meno. |
| {cl | cancella-log} <Nome registro> [/bu:<Backup>] | Cancella gli eventi dal registro eventi specificato. L'opzione /bu può essere usata per eseguire il backup degli eventi cancellati. |
Opzioni
| Opzione | Descrizione |
|---|---|
| /f:<Formato> | Specifica che l'output deve essere in formato XML o di testo. Se <Format> è XML, l'output viene visualizzato in formato XML. Se <Format> è Text, l'output viene visualizzato senza tag XML. Il valore predefinito è testo. |
| /e:<Abilitato> | Abilita o disabilita un log. <L'abilitazione> può essere true o false. |
| /i:<Isolamento> | Imposta la modalità di isolamento del log. <L'isolamento> può essere di sistema, applicazione o personalizzato. La modalità di isolamento di un log determina se un log condivide una sessione con altri log nella stessa classe di isolamento. Se si specifica l'isolamento del sistema, il log di destinazione condividerà almeno le autorizzazioni di scrittura con il log di sistema. Se si specifica l'isolamento dell'applicazione, il log di destinazione condividerà almeno le autorizzazioni di scrittura con il log applicazioni. Se si specifica l'isolamento personalizzato, è necessario fornire anche un descrittore di sicurezza usando l'opzione /ca . |
| /lfn:<Percorso di log> | Definisce il nome del file di log. <Logpath> è un percorso completo del file in cui il servizio Registro eventi archivia gli eventi per questo log. |
| /rt:<Conservazione> | Imposta la modalità di conservazione dei log. <La conservazione> può essere true o false. La modalità di conservazione dei log determina il comportamento del servizio Registro eventi quando un log raggiunge le dimensioni massime. Se un registro eventi raggiunge le dimensioni massime e la modalità di conservazione del log è true, gli eventi esistenti vengono mantenuti e gli eventi in ingresso vengono eliminati. Se la modalità di conservazione dei log è false, gli eventi in ingresso sovrascrivono gli eventi meno recenti nel log. |
| /ab:<Auto> | Specifica i criteri di backup automatico del log. <Auto> può essere true o false. Se questo valore è true, il backup del log verrà eseguito automaticamente quando raggiunge le dimensioni massime. Se questo valore è true, anche la conservazione (specificata con l'opzione /rt ) deve essere impostata su true. |
| /ms:<Dimensione massima> | Imposta le dimensioni massime del log in byte. La dimensione minima del log è 1048576 byte (1024 KB) e i file di log sono sempre multipli di 64 KB, quindi il valore immesso verrà arrotondato di conseguenza. |
| /l:<Livello> | Definisce il filtro a livello del log. <Il livello> può essere qualsiasi valore di livello valido. Questa opzione è applicabile solo ai log con una sessione dedicata. È possibile rimuovere un filtro a livello impostando <Il livello> su 0. |
| /k:<Parole chiave> | Specifica il filtro delle parole chiave del log. <Le> parole chiave possono essere qualsiasi maschera di parole chiave a 64 bit valida. Questa opzione è applicabile solo ai log con una sessione dedicata. |
| /ca:<Canale> | Imposta l'autorizzazione di accesso per un registro eventi. <Channel> è un descrittore di sicurezza che usa il linguaggio SDDL (Security Descriptor Definition Language). Per altre informazioni sul formato SDDL, vedere il sito Web Msdn (Microsoft Developers Network) (https://msdn.microsoft.com). |
| /c:<Configurazione> | Specifica il percorso di un file di configurazione. Questa opzione causerà la lettura delle proprietà del log dal file di configurazione definito in <Config>. Se si usa questa opzione, non è necessario specificare un <parametro Logname> . Il nome del log verrà letto dal file di configurazione. |
| /ge:<Metadati> | Ottiene le informazioni sui metadati per gli eventi che possono essere generati dal server di pubblicazione. <I metadati> possono essere true o false. |
| /gm:<Messaggio> | Visualizza il messaggio effettivo anziché l'ID messaggio numerico. <Il messaggio> può essere true o false. |
| /lf:<File di registro> | Specifica che gli eventi devono essere letti da un log o da un file di log. <Il file di log> può essere true o false. Se true, il parametro del comando è il percorso di un file di log. |
| /sq:<Structquery> | Specifica che gli eventi devono essere ottenuti con una query strutturata. <Structquery> può essere true o false. Se true, <Path> è il percorso di un file contenente una query strutturata. |
| /q:<Query> | Definisce la query XPath per filtrare gli eventi letti o esportati. Se questa opzione non è specificata, tutti gli eventi verranno restituiti o esportati. Questa opzione non è disponibile quando /sq è true. |
| /bm:<Segnalibro> | Specifica il percorso di un file che contiene un segnalibro da una query precedente. |
| /sbm:<Salvataggio> | Specifica il percorso di un file utilizzato per salvare un segnalibro di questa query. L'estensione del nome file deve essere .xml. |
| /rd:<Direzione> | Specifica la direzione in cui vengono letti gli eventi. <La direzione> può essere true o false. Se true, gli eventi più recenti vengono restituiti per primi. |
| /l:<Locale> | Definisce una stringa delle impostazioni locali utilizzata per stampare il testo dell'evento in impostazioni locali specifiche. Disponibile solo quando si stampano eventi in formato testo usando l'opzione /f . |
| /c:<Conteggio> | Imposta il numero massimo di eventi da leggere. |
| /e:<Elemento> | Include un elemento radice durante la visualizzazione di eventi in XML. <L'elemento> è la stringa desiderata all'interno dell'elemento radice. Ad esempio, /e:root genera codice XML contenente la radice della coppia <di elementi radice>. |
| /ow:<Sovrascrivi> | Specifica che il file di esportazione deve essere sovrascritto. <La sovrascrittura> può essere true o false. Se true e il file di esportazione specificato in <Exportfile> esiste già, verrà sovrascritto senza conferma. |
| /bu:<Backup> | Specifica il percorso di un file in cui verranno archiviati gli eventi cancellati. Includere l'estensione evtx nel nome del file di backup. |
| /r:<Telecomando> | Esegue il comando in un computer remoto. <Remote> è il nome del computer remoto. I parametri im e um non supportano l'operazione remota. |
| /u:<Nome utente> | Specifica un utente diverso per l'accesso a un computer remoto. <Il nome utente> è un nome utente nel formato dominio\utente o utente. Questa opzione è applicabile solo quando viene specificata l'opzione /r . |
| /p:<Parola d'ordine> | Specifica la password per l'utente. Se viene usata l'opzione /u e questa opzione non è specificata o <Password> è *, all'utente verrà richiesto di immettere una password. Questa opzione è applicabile solo quando si specifica l'opzione /u . |
| /a:<Autenticazione> | Definisce il tipo di autenticazione per la connessione a un computer remoto. <L'autenticazione> può essere Default, Negotiate, Kerberos o NTLM. Il valore predefinito è Negotiate. |
| /uni:<Unicode> | Visualizza l'output in Unicode. <Unicode> può essere true o false. Se <Unicode> è true, l'output è in Unicode. |
Osservazioni:
Uso di un file di configurazione con il parametro sl
Il file di configurazione è un file XML con lo stesso formato dell'output di wevtutil gl <Logname> /f:xml. Per visualizzare il formato di un file di configurazione che abilita la conservazione, abilita il backup automatico e imposta le dimensioni massime del log nel log applicazioni:
<?xml version=1.0 encoding=UTF-8?> <channel name=Application isolation=Application xmlns=https://schemas.microsoft.com/win/2004/08/events> <logging> <retention>true</retention> <autoBackup>true</autoBackup> <maxSize>9000000</maxSize> </logging> <publishing> </publishing> </channel>
Esempi
Elencare i nomi di tutti i log:
wevtutil el
Visualizzare le informazioni di configurazione sul registro di sistema nel computer locale in formato XML:
wevtutil gl System /f:xml
Usare un file di configurazione per impostare gli attributi del registro eventi (vedere la sezione Osservazioni per un esempio di file di configurazione):
wevtutil sl /c:config.xml
Visualizzare informazioni sull'editore di eventi Microsoft-Windows-Eventlog, inclusi i metadati relativi agli eventi che l'autore può generare:
wevtutil gp Microsoft-Windows-Eventlog /ge:true
Installare i server di pubblicazione e i log dal file manifesto myManifest.xml:
wevtutil im myManifest.xml
Disinstallare i server di pubblicazione e i log dal file manifesto myManifest.xml:
wevtutil um myManifest.xml
Visualizzare i tre eventi più recenti dal registro applicazioni in formato testuale:
wevtutil qe Application /c:3 /rd:true /f:text
Visualizzare lo stato del registro applicazioni:
wevtutil gli Application
Esportare eventi dal registro di sistema a C:\backup\system0506.evtx:
wevtutil epl System C:\backup\system0506.evtx
Cancellare tutti gli eventi dal registro applicazioni dopo averli salvati in C:\admin\backups\a10306.evtx:
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
Archiviare il file di log specificato (con estensione evtx) in un formato autonomo. Viene creata una sottodirectory (LocaleMetaData) e tutte le informazioni specifiche delle impostazioni locali vengono salvate in tale sottodirectory:
wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us