wevtutil
イベント ログおよびパブリッシャーに関する情報を取得できます。 また、このコマンドを使用して、イベント マニフェストのインストールとアンインストールも実行できます。その他、クエリの実行や、ログのエクスポート、アーカイブ、消去も実行できます。
構文
wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]]
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]
パラメーター
| パラメーター | 説明 |
|---|---|
| {el | enum-logs} | すべてのログの名前を表示します。 |
| {gl | get-log} <Logname> [/f:<Format>] | 指定されたログの構成情報を表示します。これには、ログが有効になっているかどうか、ログの現在の最大サイズ、ログが保存されているファイルのパスなどが含まれます。 |
| {sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>] | 指定されたログの構成を変更します。 |
| {ep | enum-publishers} | ローカル コンピューター上のイベント発行者を表示します。 |
| {gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] | 指定されたイベント発行者の構成情報を表示します。 |
| {im | install-manifest} <Manifest> [/{rf | resourceFilePath}:value] [/{mf | messageFilePath}:value] [/{pf | parameterFilePath}:value] |
マニフェストからイベント発行者とログをインストールします。 イベント マニフェストとこのパラメーターの使用方法の詳細については、Microsoft Developers Network (MSDN) Web サイト (https://msdn.microsoft.com) にある Windows Event Log SDK を参照してください。 値は前述のファイルの完全なパスです。 |
| {um | uninstall-manifest} <Manifest> | マニフェストからすべてのイベント発行者とログをアンインストールします。 イベント マニフェストとこのパラメーターの使用方法の詳細については、Microsoft Developers Network (MSDN) Web サイト (https://msdn.microsoft.com) にある Windows Event Log SDK を参照してください。 |
| {qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>] | イベント ログまたはログ ファイルから、あるいは構造化クエリを使用して、イベントを読み取ります。 既定では、<Path> にログ名を指定します。 ただし、/lf オプションを使用する場合、<Path> にはログ ファイルのパスを指定する必要があります。 /sq パラメーターを使用する場合、<Path> には構造化クエリが格納されたファイルのパスを指定する必要があります。 |
| {gli | get-loginfo} <Logname> [/lf:<Logfile>] | イベント ログまたはログ ファイルに関する状態情報を表示します。 /lf オプションを使用している場合、<Logname> はログ ファイルのパスです。 wevtutil el を実行すると、ログ名の一覧を取得できます。 |
| {epl | export-log} <Path><Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>] | イベント ログまたはログ ファイルから、あるいは構造化クエリを使用して、イベントを指定されたファイルにエクスポートします。 既定では、<Path> にログ名を指定します。 ただし、/lf オプションを使用する場合、<Path> にはログ ファイルのパスを指定する必要があります。 /sq オプションを使用する場合、<Path> には構造化クエリが格納されたファイルのパスを指定する必要があります。 <Exportfile> は、エクスポートされたイベントを保存するファイルのパスです。 |
| {al | archive-log} <Logpath> [/l:<Locale>] | 指定されたログ ファイルを自己完結形式でアーカイブします。 ロケールの名前が付けられたサブディレクトリが作成され、ロケール固有のすべての情報がそのサブディレクトリに保存されます。 wevtutil al を実行してディレクトリとログ ファイルを作成した後は、発行者がインストールされているかどうかに関係なく、ファイル内のイベントを読み取ることができます。 |
| {cl | clear-log} <Logname> [/bu:<Backup>] | 指定されたイベント ログからイベントを消去します。 /bu オプションを使用すると、消去されたイベントをバックアップできます。 |
Options
| オプション | 説明 |
|---|---|
| /f:<Format> | 出力を XML 形式またはテキスト形式にすることを指定します。 <Format> が XML の場合、出力は XML 形式で表示されます。 <Format> が Text の場合、出力は XML タグなしで表示されます。 既定値は Text です。 |
| /e:<Enabled> | ログを有効または無効にします。 <Enabled> には true または false を指定できます。 |
| /i:<Isolation> | ログの分離モードを設定します。 <Isolation> には、システム、アプリケーション、またはカスタムを指定できます。 ログの分離モードによって、ログが同じ分離クラス内の他のログとセッションを共有するかどうかが決まります。 システム分離を指定した場合、ターゲット ログは少なくとも書き込みアクセス許可をシステム ログと共有します。 アプリケーション分離を指定した場合、ターゲット ログは少なくとも書き込みアクセス許可をアプリケーション ログと共有します。 カスタム分離を指定した場合は、/ca オプションを使用してセキュリティ記述子も指定する必要があります。 |
| /lfn:<Logpath> | ログ ファイル名を定義します。 <Logpath> は、イベント ログ サービスがこのログのイベントを保存するファイルの完全なパスです。 |
| /rt:<Retention> | ログの保持モードを設定します。 <Retention> には true または false を指定できます。 ログの保持モードによって、ログが最大サイズに達したときのイベント ログ サービスの動作が決まります。 ログの保持モードが true の場合、イベント ログが最大サイズに達すると、既存のイベントは保持され、受信イベントは破棄されます。 ログの保持モードが false の場合、受信イベントによってログ内の最も古いイベントが上書きされます。 |
| /ab:<Auto> | ログの自動バックアップ ポリシーを指定します。 <Auto> には true または false を指定できます。 この値が true の場合、ログは最大サイズに達したときに自動的にバックアップされます。 この値が true の場合は、保持 (/rt オプションで指定) も true に設定する必要があります。 |
| /ms:<MaxSize> | ログの最大サイズ (バイト単位) を設定します。 最小ログ サイズは 1048576 バイト (1024 KB) であり、ログ ファイルは常に 64 KB の倍数であるため、入力した値は適宜丸められます。 |
| /l:<Level> | ログのレベル フィルターを定義します。 <Level> には、任意の有効なレベル値を指定できます。 このオプションは、専用セッションを使用するログにのみ適用されます。 <Level> を 0 に設定すると、レベル フィルターを削除できます。 |
| /k:<Keywords> | ログのキーワード フィルターを指定します。 <Keywords> には、任意の有効な 64 ビット キーワード マスクを指定できます。 このオプションは、専用セッションを使用するログにのみ適用されます。 |
| /ca:<Channel> | イベント ログのアクセス許可を設定します。 <Channel> は、セキュリティ記述子定義言語 (SDDL) を使用したセキュリティ記述子です。 SDDL 形式の詳細については、Microsoft Developers Network (MSDN) Web サイト (https://msdn.microsoft.com) を参照してください。 |
| /c:<Config> | 構成ファイルのパスを指定します。 このオプションを使用すると、<Config> に定義された構成ファイルからログのプロパティが読み取られます。 このオプションを使用する場合、<Logname> パラメーターは指定しないでください。 ログ名は構成ファイルから読み取られます。 |
| /ge:<Metadata> | この発行者が発生させる可能性のあるイベントのメタデータ情報を取得します。 <Metadata> には true または false を指定できます。 |
| /gm:<Message> | 数値メッセージ ID ではなく、実際のメッセージを表示します。 <Message> には true または false を指定できます。 |
| /lf:<Logfile> | ログまたはログ ファイルからイベントを読み取ることを指定します。 <Logfile> には true または false を指定できます。 true の場合、コマンドのパラメーターはログ ファイルのパスです。 |
| /sq:<Structquery> | 構造化クエリを使用してイベントを取得することを指定します。 <Structquery> には true または false を指定できます。 true の場合、<Path> は構造化クエリが格納されたファイルのパスです。 |
| /q:<Query> | 読み取られるイベントまたはエクスポートされるイベントをフィルター処理する XPath クエリを定義します。 このオプションを指定しない場合、すべてのイベントが返されるかエクスポートされます。 /sq が true の場合、このオプションは使用できません。 |
| /bm:<Bookmark> | 前回のクエリのブックマークが格納されたファイルのパスを指定します。 |
| /sbm:<Savebm> | このクエリのブックマークを保存するために使用するファイルのパスを指定します。 ファイル名拡張子は .xml である必要があります。 |
| /rd:<Direction> | イベントの読み取り方向を指定します。 <Direction> には true または false を指定できます。 true の場合、最新のイベントが最初に返されます。 |
| /l:<Locale> | イベント テキストを特定のロケールで出力するために使用するロケール文字列を定義します。 /f オプションを使用して、イベントをテキスト形式で出力する場合にのみ使用できます。 |
| /c:<Count> | 読み取るイベントの最大数を設定します。 |
| /e:<Element> | イベントを XML で表示するときにルート要素を含めます。 <Element> は、ルート要素に含める文字列です。 たとえば、/e:root の場合、XML にルート要素のペアである <root> が含まれます。 |
| /ow:<Overwrite> | エクスポート ファイルを上書きすることを指定します。 <Overwrite> には true または false を指定できます。 true の場合、<Exportfile> で指定されたエクスポート ファイルが既に存在すると、確認なしで上書きされます。 |
| /bu:<Backup> | 消去されたイベントを格納するファイルのパスを指定します。 バックアップ ファイルの名前には、.evtx 拡張子を含めます。 |
| /r:<Remote> | リモート コンピューターでコマンドを実行します。 <Remote> はリモート コンピューターの名前です。 im および um パラメーターでは、リモート操作はサポートされていません。 |
| /u:<Username> | リモート コンピューターにログオンする別のユーザーを指定します。 <Username> は、domain\user または user の形式のユーザー名です。 このオプションは、/r オプションが指定されている場合にのみ適用されます。 |
| /p:<Password> | ユーザーのパスワードを指定します。 /u オプションを使用し、このオプションが指定されていない場合、または <Password> が * の場合、ユーザーはパスワードの入力を求められます。 このオプションは、/u オプションが指定されている場合にのみ適用されます。 |
| /a:<Auth> | リモート コンピューターに接続するための認証の種類を定義します。 <Auth> には、Default、Negotiate、Kerberos、または NTLM を指定できます。 既定値は Negotiate です。 |
| /uni:<Unicode> | 出力を Unicode で表示します。 <Unicode> には true または false を指定できます。 <Unicode> が true の場合、Unicode で出力されます。 |
解説
sl パラメーターを指定した構成ファイルの使用
構成ファイルは、wevtutil gl <Logname> /f:xml の出力と同じ形式の XML ファイルです。 保持と自動バックアップを有効にし、アプリケーション ログの最大ログ サイズを設定した構成ファイルの形式は次のようになります。
<?xml version=1.0 encoding=UTF-8?> <channel name=Application isolation=Application xmlns=https://schemas.microsoft.com/win/2004/08/events> <logging> <retention>true</retention> <autoBackup>true</autoBackup> <maxSize>9000000</maxSize> </logging> <publishing> </publishing> </channel>
例
すべてのログの名前を一覧表示します。
wevtutil el
ローカル コンピューターのシステム ログに関する構成情報を XML 形式で表示します。
wevtutil gl System /f:xml
構成ファイルを使用してイベント ログ属性を設定します (構成ファイルの例については、「解説」を参照してください)。
wevtutil sl /c:config.xml
Microsoft-Windows-Eventlog イベント発行者に関する情報 (発行者が発生させる可能性のあるイベントに関するメタデータを含む) を表示します。
wevtutil gp Microsoft-Windows-Eventlog /ge:true
myManifest.xml マニフェスト ファイルから発行者とログをインストールします。
wevtutil im myManifest.xml
myManifest.xml マニフェスト ファイルから発行者とログをアンインストールします。
wevtutil um myManifest.xml
アプリケーション ログの最新の 3 つのイベントをテキスト形式で表示します。
wevtutil qe Application /c:3 /rd:true /f:text
アプリケーション ログの状態を表示します。
wevtutil gli Application
システム ログから C:\backup\system0506.evtx にイベントをエクスポートします。
wevtutil epl System C:\backup\system0506.evtx
すべてのイベントを C:\admin\backups\a10306.evtx に保存した後、アプリケーション ログからそれらを消去します。
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
指定された (.evtx) ログ ファイルを自己完結形式でアーカイブします。 サブディレクトリ (LocaleMetaData) が作成され、ロケール固有のすべての情報がそのサブディレクトリに保存されます。
wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us