Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Permite recuperar informações sobre logs de eventos e editores. Você também pode usar esse comando para instalar e desinstalar manifestos de eventos, executar consultas e exportar, arquivar e limpar logs.
Sintaxe
wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]]
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]
Parâmetros
| Parâmetro | Descrição |
|---|---|
| {el | enum-logs} | Exibe os nomes de todos os logs. |
| {GL | get-log} <Nome do> log [/f:<Format>] | Exibe informações de configuração para o log especificado, que incluem se o log está habilitado ou não, o limite de tamanho máximo atual do log e o caminho para o arquivo onde o log está armazenado. |
| {sl | set-log} <Logname> : [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Palavras-chave>] [/ca:<Channel>] [/c:<Config>] | Modifica a configuração do log especificado. |
| {EP | Enum-Editores} | Exibe os editores de eventos no computador local. |
| {gp | get-publisher} <Nome do editor:> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] | Exibe as informações de configuração para o editor de eventos especificado. |
| {im | install-manifest} <Manifesto> [/{rf | resourceFilePath}:valor] [/{mf | messageFilePath}:valor] [/{pf | parameterFilePath}:valor] |
Instala editores de eventos e logs de um manifesto. Para obter mais informações sobre manifestos de eventos e como usar esse parâmetro, consulte o SDK de log de eventos do Windows no site da Microsoft Developers Network (MSDN) (https://msdn.microsoft.com). O valor é o caminho completo para o arquivo mencionado. |
| {um | uninstall-manifest} <Manifesto> | Desinstala todos os editores e logs de um manifesto. Para obter mais informações sobre manifestos de eventos e como usar esse parâmetro, consulte o SDK de log de eventos do Windows no site da Microsoft Developers Network (MSDN) (https://msdn.microsoft.com). |
| {QE | query-events} <Caminho> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element]> | Lê eventos de um log de eventos, de um arquivo de log ou usando uma consulta estruturada. Por padrão, você fornece um nome de log para <Path>. No entanto, se você usar a opção /lf, Path <> deverá ser um caminho para um arquivo de log. Se você usar o parâmetro /sq , <Path> deverá ser um caminho para um arquivo que contenha uma consulta estruturada. |
| {gli | get-loginfo} <Nome do log:> [/lf:<Logfile>] | Exibe informações de status sobre um log de eventos ou arquivo de log. Se a opção /lf for usada, <Logname> será um caminho para um arquivo de log. Você pode executar wevtutil el para obter uma lista de nomes de log. |
| {epl | export-log} <Caminho><Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>] | Exporta eventos de um log de eventos, de um arquivo de log ou usando uma consulta estruturada para o arquivo especificado. Por padrão, você fornece um nome de log para <Path>. No entanto, se você usar a opção /lf, Path <> deverá ser um caminho para um arquivo de log. Se você usar a opção /sq , <Path> deverá ser um caminho para um arquivo que contenha uma consulta estruturada. <Exportfile> é um caminho para o arquivo onde os eventos exportados serão armazenados. |
| {al | arquivo-log} <Logpath> [/l:<Locale>] | Arquiva o arquivo de log especificado em um formato independente. Um subdiretório com o nome da localidade é criado e todas as informações específicas da localidade são salvas nesse subdiretório. Depois que o diretório e o arquivo de log são criados executando wevtutil al, os eventos no arquivo podem ser lidos se o editor está instalado ou não. |
| {cl | clear-log} <Nome de> log [/bu:<Backup>] | Limpa eventos do log de eventos especificado. A opção /bu pode ser usada para fazer backup dos eventos limpos. |
Opções
| Opção | Descrição |
|---|---|
| /f:<Formato> | Especifica que a saída deve ser XML ou formato de texto. Se <Format> for XML, a saída será exibida no formato XML. Se <Format> for Text, a saída será exibida sem marcas XML. O padrão é Text. |
| /e:<Ativado> | Habilita ou desabilita um log. <Ativado> pode ser verdadeiro ou falso. |
| /i:<Isolamento> | Define o modo de isolamento de log. <O isolamento> pode ser sistema, aplicativo ou personalizado. O modo de isolamento de um log determina se um log compartilha uma sessão com outros logs na mesma classe de isolamento. Se você especificar o isolamento do sistema, o log de destino compartilhará pelo menos permissões de gravação com o log do sistema. Se você especificar o isolamento do aplicativo, o log de destino compartilhará pelo menos permissões de gravação com o log do aplicativo. Se você especificar o isolamento personalizado, também deverá fornecer um descritor de segurança usando a opção /ca . |
| /lfn:<Logpath> | Define o nome do arquivo de log. <Logpath> é um caminho completo para o arquivo onde o serviço Log de Eventos armazena eventos para esse log. |
| /rt:<Retenção> | Define o modo de retenção de log. <A retenção> pode ser verdadeira ou falsa. O modo de retenção de log determina o comportamento do serviço Log de Eventos quando um log atinge seu tamanho máximo. Se um log de eventos atingir seu tamanho máximo e o modo de retenção de log for true, os eventos existentes serão retidos e os eventos de entrada serão descartados. Se o modo de retenção de log for false, os eventos de entrada substituirão os eventos mais antigos no log. |
| /ab:<Automático> | Especifica a política de backup automático de log. < > Auto pode ser verdadeiro ou falso. Se esse valor for true, o backup do log será feito automaticamente quando atingir o tamanho máximo. Se esse valor for true, a retenção (especificada com a opção /rt ) também deve ser definida como true. |
| /ms:<MaxSize> | Define o tamanho máximo dos bytes de login. O tamanho mínimo do log é de 1048576 bytes (1024KB) e os arquivos de log são sempre múltiplos de 64KB, portanto, o valor inserido será arredondado de acordo. |
| /l:<Nível> | Define o filtro de nível do log. <Level> pode ser qualquer valor de nível válido. Esta opção só é aplicável a registos com uma sessão dedicada. Você pode remover um filtro de nível definindo <Nível> como 0. |
| /k:<Palavras-chave> | Especifica o filtro de palavras-chave do log. <As palavras-chave> podem ser qualquer máscara de palavra-chave de 64 bits válida. Esta opção só é aplicável a registos com uma sessão dedicada. |
| /ca:<Canal> | Define a permissão de acesso para um log de eventos. <Canal> é um descritor de segurança que usa a linguagem de definição de descritor de segurança (SDDL). Para obter mais informações sobre o formato SDDL, consulte o site da Microsoft Developers Network (MSDN) (https://msdn.microsoft.com). |
| /c:<Configuração> | Especifica o caminho para um arquivo de configuração. Essa opção fará com que as propriedades de log sejam lidas a partir do arquivo de configuração definido em <Config>. Se você usar essa opção, não deverá especificar um <parâmetro Logname> . O nome do log será lido a partir do arquivo de configuração. |
| /ge:<Metadados> | Obtém informações de metadados para eventos que podem ser gerados por este editor. <Os metadados> podem ser verdadeiros ou falsos. |
| /gm:<Mensagem> | Exibe a mensagem real em vez do ID numérico da mensagem. <A mensagem> pode ser verdadeira ou falsa. |
| /lf:<Arquivo de log> | Especifica que os eventos devem ser lidos de um log ou de um arquivo de log. <O arquivo de> log pode ser verdadeiro ou falso. Se true, o parâmetro para o comando é o caminho para um arquivo de log. |
| /sq:<Structquery> | Especifica que os eventos devem ser obtidos com uma consulta estruturada. <Structquery> pode ser true ou false. Se verdadeiro, <Path> é o caminho para um arquivo que contém uma consulta estruturada. |
| /q:<Consulta> | Define a consulta XPath para filtrar os eventos lidos ou exportados. Se essa opção não for especificada, todos os eventos serão retornados ou exportados. Esta opção não está disponível quando /sq é true. |
| /bm:<Marcador> | Especifica o caminho para um arquivo que contém um indicador de uma consulta anterior. |
| /sbm:<Savebm> | Especifica o caminho para um arquivo que é usado para salvar um indicador dessa consulta. A extensão de nome de arquivo deve ser .xml. |
| /rd:<Direção> | Especifica a direção na qual os eventos são lidos. <A direção> pode ser verdadeira ou falsa. Se verdadeiro, os eventos mais recentes são retornados primeiro. |
| /l:<Localidade> | Define uma cadeia de caracteres de localidade que é usada para imprimir texto de evento em uma localidade específica. Disponível apenas ao imprimir eventos em formato de texto usando a opção /f . |
| /c:<Contagem> | Define o número máximo de eventos a serem lidos. |
| /e:<Elemento> | Inclui um elemento raiz ao exibir eventos em XML. <Element> é a cadeia de caracteres que você deseja dentro do elemento raiz. Por exemplo, /e:root resultaria em XML que contém a raiz<> do par de elementos raiz. |
| /ow:<Substituir> | Especifica que o arquivo de exportação deve ser substituído. <A substituição> pode ser verdadeira ou falsa. Se true e o arquivo de exportação especificado em <Exportfile> já existir, ele será substituído sem confirmação. |
| /bu:<Backup> | Especifica o caminho para um arquivo onde os eventos limpos serão armazenados. Inclua a extensão .evtx no nome do arquivo de backup. |
| /r:<Remoto> | Executa o comando em um computador remoto. <Remote> é o nome do computador remoto. Os parâmetros im e um não suportam operação remota. |
| /u:<Nome de utilizador> | Especifica um usuário diferente para fazer logon em um computador remoto. < > Nome de usuário é um nome de usuário no formato domínio\usuário ou usuário. Esta opção só é aplicável quando a opção /r é especificada. |
| /p:<Palavra-passe> | Especifica a senha para o usuário. Se a opção /u for usada e esta opção não for especificada ou <a Senha> for *, o usuário será solicitado a inserir uma senha. Esta opção só é aplicável quando a opção /u é especificada. |
| /a:<Autenticação> | Define o tipo de autenticação para conexão a um computador remoto. < > A autenticação pode ser Default, Negotiate, Kerberos ou NTLM. O padrão é Negociar. |
| /uni:<Unicode> | Exibe a saída em Unicode. <Unicode> pode ser true ou false. Se <Unicode> for true, a saída estará em Unicode. |
Observações
Usando um arquivo de configuração com o parâmetro sl
O arquivo de configuração é um arquivo XML com o mesmo formato da saída do wevtutil gl <Logname> /f:xml. Para mostrar o formato de um arquivo de configuração que permite a retenção, habilita o backup automático e define o tamanho máximo do log no log do aplicativo:
<?xml version=1.0 encoding=UTF-8?> <channel name=Application isolation=Application xmlns=https://schemas.microsoft.com/win/2004/08/events> <logging> <retention>true</retention> <autoBackup>true</autoBackup> <maxSize>9000000</maxSize> </logging> <publishing> </publishing> </channel>
Exemplos
Liste os nomes de todos os logs:
wevtutil el
Exiba informações de configuração sobre o log do sistema no computador local no formato XML:
wevtutil gl System /f:xml
Use um arquivo de configuração para definir atributos de log de eventos (consulte Comentários para obter um exemplo de um arquivo de configuração):
wevtutil sl /c:config.xml
Exibir informações sobre o editor de eventos do Microsoft-Windows-Eventlog, incluindo metadados sobre os eventos que o editor pode gerar:
wevtutil gp Microsoft-Windows-Eventlog /ge:true
Instale editores e logs a partir do arquivo de manifesto myManifest.xml:
wevtutil im myManifest.xml
Desinstale editores e logs do arquivo de manifesto myManifest.xml:
wevtutil um myManifest.xml
Exiba os três eventos mais recentes do log do aplicativo em formato textual:
wevtutil qe Application /c:3 /rd:true /f:text
Exiba o status do log do aplicativo:
wevtutil gli Application
Exporte eventos do log do sistema para C:\backup\system0506.evtx:
wevtutil epl System C:\backup\system0506.evtx
Limpe todos os eventos do log do aplicativo depois de salvá-los em C:\admin\backups\a10306.evtx:
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
Arquive o arquivo de log especificado (.evtx) em um formato independente. Um subdiretório (LocaleMetaData) é criado e todas as informações específicas da localidade são salvas nesse subdiretório:
wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us