イベント ログとパブリッシャーに関する情報を取得できます。 このコマンドを使用して、イベント マニフェストのインストールとアンインストール、クエリの実行、ログのエクスポート、アーカイブ、クリアを行うこともできます。
構文
wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]]
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]
パラメーター
| パラメーター | 説明 |
|---|---|
| {el | enum-logs} | すべてのログの名前を表示します。 |
| {gl | get-log} <ログ名> [/f:<Format>] | ログが有効かどうか、ログの現在の最大サイズ制限、ログが格納されているファイルへのパスなど、指定されたログの構成情報を表示します。 |
| {sl | set-log} <ログ名> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>] | 指定したログの構成を変更します。 |
| {ep | enum-publishers} | ローカル コンピューター上のイベント発行元を表示します。 |
| {gp | get-publisher} <出版社名> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] | 指定したイベント 発行元の構成情報を表示します。 |
| {im | install-manifest} <積荷目録> [/{rf | resourceFilePath}:値] [/{mf | messageFilePath}:値] [/{pf | parameterFilePath}:値] |
マニフェストからイベントパブリッシャーとログをインストールします。 イベント マニフェストとこのパラメーターの使用の詳細については、Microsoft Developers Network (MSDN) Web サイト (https://msdn.microsoft.com) の Windows イベント ログ SDK を参照してください。 値は、前述のファイルへの完全なパスです。 |
| {um | uninstall-manifest} <積荷目録> | マニフェストからすべての発行元とログをアンインストールします。 イベント マニフェストとこのパラメーターの使用の詳細については、Microsoft Developers Network (MSDN) Web サイト (https://msdn.microsoft.com) の Windows イベント ログ SDK を参照してください。 |
| {qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm> ] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>] | イベント ログ、ログ ファイル、または構造化クエリを使用してイベントを読み取ります。 既定では、 <Path> のログ名を指定します。 ただし、 /lf オプションを使用する場合、 <Path> はログ ファイルへのパスである必要があります。 /sq パラメーターを使用する場合、<Path> は構造化クエリを含むファイルへのパスである必要があります。 |
| {gli | get-loginfo} <ログ名> [/lf:<ログファイル>] | イベント ログまたはログ ファイルに関する状態情報を表示します。 /lf オプションを使用する場合、<Logname> はログ ファイルへのパスです。 wevtutil el を実行して、ログ名の一覧を取得できます。 |
| {EPL | エクスポートログ} <パス><エクスポートファイル> [/lf:<ログファイル>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>] | イベント ログ、ログ ファイル、または構造化クエリを使用して、イベントを指定されたファイルにエクスポートします。 既定では、 <Path> のログ名を指定します。 ただし、 /lf オプションを使用する場合、 <Path> はログ ファイルへのパスである必要があります。 /sq オプションを使用する場合、<Path> は構造化クエリを含むファイルへのパスである必要があります。 <Exportfile> は、エクスポートされたイベントが格納されるファイルへのパスです。 |
| {al | archive-log} <ログパス> [/l:<Locale>] | 指定したログ ファイルを自己完結型の形式でアーカイブします。 ロケールの名前を持つサブディレクトリが作成され、ロケール固有のすべての情報がそのサブディレクトリに保存されます。 wevtutil al を実行してディレクトリとログ ファイルを作成した後、パブリッシャーがインストールされているかどうかに関係なく、ファイル内のイベントを読み取ることができます。 |
| {cl | clear-log} の <ログ名> [/bu:<Backup>] | 指定したイベント ログからイベントをクリアします。 /bu オプションを使用して、クリアされたイベントをバックアップできます。 |
オプション
| 選択肢 | 説明 |
|---|---|
| /f:<フォーマット> | 出力を XML 形式またはテキスト形式にすることを指定します。 <Format> が XML の場合、出力は XML 形式で表示されます。 <Format> が Text の場合、出力は XML タグなしで表示されます。 既定値は Text です。 |
| /e:<有効> | ログを有効または無効にします。 <有効> は true または false にすることができます。 |
| /i:<アイソレーション> | ログ分離モードを設定します。 <分離> システム、アプリケーション、またはカスタムにすることができます。 ログの分離モードは、ログが同じ分離クラス内の他のログとセッションを共有するかどうかを決定します。 システム分離を指定した場合、ターゲット ログは、少なくとも書き込みアクセス許可をシステム ログと共有します。 アプリケーションの分離を指定すると、ターゲット ログは少なくともアプリケーション ログと書き込みアクセス許可を共有します。 カスタム分離を指定する場合は、 /ca オプションを使用してセキュリティ記述子も指定する必要があります。 |
| /lfn:<ログパス> | ログ ファイル名を定義します。 <Logpath> は、イベント ログ サービスがこのログのイベントを格納するファイルへの完全なパスです。 |
| /rt:<リテンション> | ログ保持モードを設定します。 <保持期間> は true または false にすることができます。 ログ保持モードは、ログが最大サイズに達したときのイベント ログ サービスの動作を決定します。 イベント ログが最大サイズに達し、ログ保持モードが true の場合、既存のイベントは保持され、受信イベントは破棄されます。 ログ保持モードが false の場合、受信イベントによってログ内の最も古いイベントが上書きされます。 |
| /ab:<自動> | ログ自動バックアップ ポリシーを指定します。 <Auto> は true または false にすることができます。 この値が true の場合、ログは最大サイズに達すると自動的にバックアップされます。 この値が true の場合、保持期間 ( /rt オプションで指定) も true に設定する必要があります。 |
| /ms:<MaxSize> | ログの最大サイズをバイト単位で設定します。 最小ログ サイズは 1048576 バイト (1024 KB) で、ログ ファイルは常に 64 KB の倍数であるため、入力した値はそれに応じて丸められます。 |
| /l:<レベル> | ログのレベル フィルターを定義します。 <Level> には任意の有効なレベル値を指定できます。 このオプションは、専用セッションを持つログにのみ適用されます。 レベル フィルターを削除するには、 <Level> を 0 に設定します。 |
| /k:<キーワード> | ログのキーワード フィルターを指定します。 <キーワード> には、任意の有効な 64 ビット キーワード マスクを指定できます。 このオプションは、専用セッションを持つログにのみ適用されます。 |
| /ca:<チャンネル> | イベント ログのアクセス許可を設定します。 <Channel> は、セキュリティ記述子定義言語 (SDDL) を使用するセキュリティ記述子です。 SDDL 形式の詳細については、Microsoft Developers Network (MSDN) Web サイト (https://msdn.microsoft.com) を参照してください。 |
| /c:<コンフィグ> | 構成ファイルへのパスを指定します。 このオプションにより、 <Config> で定義されている構成ファイルからログ プロパティが読み取られます。 このオプションを使用する場合は、 <Logname> パラメーターを指定しないでください。 ログ名は構成ファイルから読み取られます。 |
| /ge:<メタデータ> | この発行元が発生できるイベントのメタデータ情報を取得します。 <メタデータ> は true または false にすることができます。 |
| /gm:<メッセージ> | 数値メッセージ ID ではなく、実際のメッセージを表示します。 <メッセージ> は true または false にすることができます。 |
| /lf:<ログファイル> | イベントをログまたはログ ファイルから読み取る必要があることを指定します。 <Logfile> は true または false にすることができます。 true の場合、コマンドのパラメーターはログ ファイルへのパスです。 |
| /sq:<structクエリ> | 構造化クエリを使用してイベントを取得することを指定します。 <構造体クエリ> は true または false にすることができます。 true の場合、 <Path> は構造化クエリを含むファイルへのパスです。 |
| /q:<クエリ> | 読み取りまたはエクスポートされるイベントをフィルター処理する XPath クエリを定義します。 このオプションを指定しない場合、すべてのイベントが返されるかエクスポートされます。 /sq が true の場合、このオプションは使用できません。 |
| /bm:<ブックマーク> | 前のクエリのブックマークを含むファイルへのパスを指定します。 |
| /sbm:<savebm> | このクエリのブックマークを保存するために使用するファイルへのパスを指定します。 ファイル名拡張子は .xmlする必要があります。 |
| /rd:<方向> | イベントを読み取る方向を指定します。 <方向> は true または false にすることができます。 true の場合、最新のイベントが最初に返されます。 |
| /l:<ロケール> | 特定のロケールでイベント テキストを出力するために使用されるロケール文字列を定義します。 /f オプションを使用してテキスト形式でイベントを印刷する場合にのみ使用できます。 |
| /c:<カウント> | 読み取るイベントの最大数を設定します。 |
| /e:<要素> | XML でイベントを表示するときにルート要素を含めます。 <Element> は、ルート要素内で使用する文字列です。 たとえば、 /e:root はルート要素ペア <root>を含む XML になります。 |
| /ow:<上書き> | エクスポート ファイルを上書きすることを指定します。 <上書き> は true または false にすることができます。 true の場合、 <Exportfile> で指定されたエクスポート ファイルが既に存在する場合は、確認なしで上書きされます。 |
| /bu:<バックアップ> | クリアされたイベントが格納されるファイルへのパスを指定します。 バックアップ ファイルの名前に .evtx 拡張子を含めます。 |
| /r:<リモート> | リモート コンピューターでコマンドを実行します。 <Remote> はリモート コンピューターの名前です。 im パラメーターと um パラメーターは、リモート操作をサポートしていません。 |
| /u:<ユーザー名> | リモート コンピューターにログオンする別のユーザーを指定します。 <Username> は、domain\user または user という形式のユーザー名です。 このオプションは、 /r オプションが指定されている場合にのみ適用されます。 |
| /p:<パスワード> | ユーザーのパスワードを指定します。 /u オプションが使用されていて、このオプションが指定されていない場合、または <Password> が *の場合、ユーザーはパスワードの入力を求められます。 このオプションは、 /u オプションが指定されている場合にのみ適用されます。 |
| /a:<認証> | リモート コンピューターに接続するための認証の種類を定義します。 <認証> には、既定、ネゴシエート、Kerberos、NTLM を指定できます。 既定値は Negotiate です。 |
| /uni:<ユニコード> | Unicode で出力を表示します。 <Unicode> は true または false にすることができます。 <Unicode>が true の場合、出力は Unicode になります。 |
注釈
sl パラメーターで構成ファイルを使用する
構成ファイルは、wevtutil gl <Logname> /f:xml の出力と同じ形式の XML ファイルです。 リテンション期間を有効にし、自動バックを有効にして、アプリケーション ログの最大ログ サイズを設定する構成ファイルの形式を表示するには、
<?xml version=1.0 encoding=UTF-8?> <channel name=Application isolation=Application xmlns=https://schemas.microsoft.com/win/2004/08/events> <logging> <retention>true</retention> <autoBackup>true</autoBackup> <maxSize>9000000</maxSize> </logging> <publishing> </publishing> </channel>
例示
すべてのログの名前を一覧表示します。
wevtutil el
ローカル コンピューター上のシステム ログに関する構成情報を XML 形式で表示します。
wevtutil gl System /f:xml
構成ファイルを使用してイベント ログ属性を設定します (構成ファイルの例については、「解説」を参照してください)。
wevtutil sl /c:config.xml
MicrosoftWindows-Eventlog イベント発行元に関する情報を表示します。これには、発行元が発生できるイベントに関するメタデータが含まれます。
wevtutil gp Microsoft-Windows-Eventlog /ge:true
myManifest.xml マニフェスト ファイルからパブリッシャーとログをインストールします。
wevtutil im myManifest.xml
myManifest.xml マニフェスト ファイルからパブリッシャーとログをアンインストールします。
wevtutil um myManifest.xml
アプリケーション ログの最新の 3 つのイベントをテキスト形式で表示します。
wevtutil qe Application /c:3 /rd:true /f:text
アプリケーション ログの状態を表示します。
wevtutil gli Application
システム ログから C:\backup\system0506.evtx にイベントをエクスポートします。
wevtutil epl System C:\backup\system0506.evtx
C:\admin\backups\a10306.evtx に保存した後、アプリケーション ログからすべてのイベントをクリアします。
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
指定した (.evtx) ログ ファイルを自己完結型の形式でアーカイブします。 サブディレクトリ (LocaleMetaData) が作成され、ロケール固有のすべての情報がそのサブディレクトリに保存されます。
wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us