Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gör att du kan hämta information om händelseloggar och utgivare. Du kan också använda det här kommandot för att installera och avinstallera händelsemanifest, köra frågor och exportera, arkivera och rensa loggar.
Syntax
wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]]
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]
Parameterar
| Parameter | Beskrivning |
|---|---|
| {el | uppräkningsloggar} | Visar namnen på alla loggar. |
| {gl | get-log} <Loggnamn> [/f:<Format>] | Visar konfigurationsinformation för den angivna loggen, som omfattar om loggen är aktiverad eller inte, loggens aktuella maximala storleksgräns och sökvägen till filen där loggen lagras. |
| {sl | set-log} <Loggnamn> [/e:<Aktiverad>] [/i:<Isolering>] [/lfn:<Logpath>] [/rt:<Bevarande>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Nivå>] [/k:<Nyckelord>] [/ca:<Kanal>] [/c:<Config>] | Ändrar konfigurationen av den angivna loggen. |
| {ep | uppräkningsutgivare} | Visar händelseutgivarna på den lokala datorn. |
| {gp | get-publisher} <Utgivarens namn> [/ge:<Metadata>] [/gm:<Meddelande>] [/f:<Format>]] | Visar konfigurationsinformationen för den angivna händelseutgivaren. |
| {im | install-manifest} <Manifestera> [/{rf | resourceFilePath}:värde] [/{mf | messageFilePath}:värde] [/{pf | parameterFilePath}:value] |
Installerar händelseutgivare och loggar från ett manifest. Mer information om händelsemanifest och den här parametern finns i Windows Event Log SDK på webbplatsen microsoft developers network (MSDN) (https://msdn.microsoft.com). Värdet är den fullständiga sökvägen till den nämnda filen. |
| {um | uninstall-manifest} <Manifestera> | Avinstallerar alla utgivare och loggar från ett manifest. Mer information om händelsemanifest och den här parametern finns i Windows Event Log SDK på webbplatsen microsoft developers network (MSDN) (https://msdn.microsoft.com). |
| {qe | query-events} <Sökväg> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>] | Läser händelser från en händelselogg, från en loggfil eller med en strukturerad fråga. Som standard anger du ett loggnamn för <Sökväg>. Men om du använder alternativet < måste sökvägen> vara en sökväg till en loggfil. Om du använder parametern < måste sökvägen> vara en sökväg till en fil som innehåller en strukturerad fråga. |
| {gli | get-loginfo} <Loggnamn> [/lf:<Loggfil>] | Visar statusinformation om en händelselogg eller loggfil. Om alternativet /lf används <är Logname> en sökväg till en loggfil. Du kan köra wevtutil el för att hämta en lista med loggnamn. |
| {epl | export-log} <Sökvägsexportfil [/lf:>Logfile<] [/sq:>Structquery<] [/q:>Query<] [/ow:>Overwrite<]><> | Exporterar händelser från en händelselogg, från en loggfil eller med en strukturerad fråga till den angivna filen. Som standard anger du ett loggnamn för <Sökväg>. Men om du använder alternativet < måste sökvägen> vara en sökväg till en loggfil. Om du använder alternativet < måste sökvägen> vara en sökväg till en fil som innehåller en strukturerad fråga. <Exportfile> är en sökväg till filen där de exporterade händelserna lagras. |
| {al | archive-log} <Logpath> [/l:<Språk>] | Arkiverar den angivna loggfilen i ett fristående format. En underkatalog med namnet på språkvarianten skapas och all språkspecifik information sparas i den underkatalogen. När katalogen och loggfilen har skapats genom att köra wevtutil al kan händelser i filen läsas om utgivaren är installerad eller inte. |
| {cl | rensa-logg} <Loggnamn> [/bu:<Säkerhetskopiering>] | Rensar händelser från den angivna händelseloggen. Alternativet /bu kan användas för att säkerhetskopiera de rensade händelserna. |
Alternativ
| Alternativ | Beskrivning |
|---|---|
| /f:<Format> | Anger att utdata ska vara antingen XML- eller textformat. Om <Format> är XML visas utdata i XML-format. Om <Format> är Text visas utdata utan XML-taggar. Standardvärdet är Text. |
| /e:<Aktiverad> | Aktiverar eller inaktiverar en logg. <Aktiverat> kan vara sant eller falskt. |
| /i:<Isolering> | Anger loggisoleringsläget. <Isolering> kan vara system, program eller anpassad. Isoleringsläget för en logg avgör om en logg delar en session med andra loggar i samma isoleringsklass. Om du anger systemisolering delar målloggen minst skrivbehörigheter med systemloggen. Om du anger programisolering delar målloggen minst skrivbehörigheter med programloggen. Om du anger anpassad isolering måste du också ange en säkerhetsbeskrivning med hjälp av alternativet /ca . |
| /lfn:<Loggväg> | Definierar loggfilens namn. <Logpath> är en fullständig sökväg till filen där händelseloggtjänsten lagrar händelser för den här loggen. |
| /rt:<Kvarhållning> | Anger loggkvarhållningsläget. <Kvarhållning> kan vara sant eller falskt. Loggkvarhållningsläget avgör beteendet för händelseloggtjänsten när en logg når sin maximala storlek. Om en händelselogg når sin maximala storlek och loggkvarhållningsläget är sant behålls befintliga händelser och inkommande händelser ignoreras. Om loggkvarhållningsläget är falskt skriver inkommande händelser över de äldsta händelserna i loggen. |
| /ab:<Auto> | Anger principen för automatisk säkerhetskopiering av loggen. <Auto> kan vara sant eller falskt. Om det här värdet är sant säkerhetskopieras loggen automatiskt när den når den maximala storleken. Om det här värdet är sant måste kvarhållningen (som anges med alternativet /rt ) också anges till true. |
| /ms:<MaxSize> | Anger den maximala storleken på loggen i byte. Den minsta loggstorleken är 1048576 byte (1024 KB) och loggfiler är alltid multiplar av 64 KB, så värdet du anger avrundas därefter. |
| /l:<Nivå> | Definierar nivåfiltret för loggen. <Nivån> kan vara valfritt giltigt nivåvärde. Det här alternativet gäller endast för loggar med en dedikerad session. Du kan ta bort ett nivåfilter genom att ange <Nivå> till 0. |
| /k:<Nyckelord> | Anger nyckelordsfiltret i loggen. <Nyckelord kan vara valfri giltig 64-bitars nyckelordsmask> . Det här alternativet gäller endast för loggar med en dedikerad session. |
| /ca:<Kanal> | Anger åtkomstbehörigheten för en händelselogg. <Kanalen> är en säkerhetsbeskrivning som använder SDDL (Security Descriptor Definition Language). Mer information om SDDL-format finns på webbplatsen microsoft developers network (MSDN) (https://msdn.microsoft.com). |
| /c:<Konfiguration> | Anger sökvägen till en konfigurationsfil. Det här alternativet gör att loggegenskaper läse från konfigurationsfilen som definierats i <Config>. Om du använder det här alternativet får du inte ange en <Logname-parameter> . Loggnamnet kommer att läsas från konfigurationsfilen. |
| /ge:<Metadata> | Hämtar metadatainformation för händelser som kan genereras av den här utgivaren. <Metadata> kan vara sanna eller falska. |
| /gm:<Meddelande> | Visar det faktiska meddelandet i stället för det numeriska meddelande-ID:t. <Meddelandet> kan vara sant eller falskt. |
| /lf:<Loggfil> | Anger att händelserna ska läsas från en logg eller från en loggfil. <Logfile> kan vara sant eller falskt. Om sant är parametern till kommandot sökvägen till en loggfil. |
| /sq:<Structquery> | Anger att händelser ska hämtas med en strukturerad fråga. <Structquery> kan vara sant eller falskt. Om sant <är Path> sökvägen till en fil som innehåller en strukturerad fråga. |
| /q:<Fråga> | Definierar XPath-frågan för att filtrera de händelser som läss eller exporteras. Om det här alternativet inte anges returneras eller exporteras alla händelser. Det här alternativet är inte tillgängligt när /sq är sant. |
| /bm:<Bokmärke> | Anger sökvägen till en fil som innehåller ett bokmärke från en tidigare fråga. |
| /sbm:<Sparabm> | Anger sökvägen till en fil som används för att spara ett bokmärke för den här frågan. Filnamnstillägget ska vara .xml. |
| /rd:<Riktning> | Anger i vilken riktning händelserna ska läsas. <Riktning> kan vara sant eller falskt. Om sant returneras de senaste händelserna först. |
| /l:<Nationella inställningar> | Definierar en språksträng som används för att skriva ut händelsetext på ett visst språk. Endast tillgängligt när du skriver ut händelser i textformat med alternativet /f . |
| /c:<Antal> | Anger det maximala antalet händelser som ska läsas. |
| /e:<Element> | Innehåller ett rotelement när händelser visas i XML. <Elementet> är den sträng som du vill ha i rotelementet. Till exempel skulle /e:root resultera i XML som innehåller roten för rotelementparet<>. |
| /ow:<Skriv över> | Anger att exportfilen ska skrivas över. <Skriv över> kan vara sant eller falskt. Om sant och exportfilen som anges i <Exportfile> redan finns skrivs den över utan bekräftelse. |
| /bu:<Säkerhetskopiering> | Anger sökvägen till en fil där de rensade händelserna ska lagras. Inkludera .evtx-tillägget i namnet på säkerhetskopieringsfilen. |
| /r:<Fjärrkontroll> | Kör kommandot på en fjärrdator. <Fjärranslutning> är namnet på fjärrdatorn. Parametrarna im och um stöder inte fjärråtgärd. |
| /u:<Användarnamn> | Anger en annan användare att logga in på en fjärrdator. <Användarnamn> är ett användarnamn i formuläret domän\användare eller användare. Det här alternativet gäller endast när alternativet /r har angetts. |
| /p:<Lösenord> | Anger lösenordet för användaren. Om alternativet /u används och det här alternativet inte har angetts eller <om Lösenordet> är *, uppmanas användaren att ange ett lösenord. Det här alternativet gäller endast när alternativet /u har angetts. |
| /a:<Autentisering> | Definierar autentiseringstypen för att ansluta till en fjärrdator. <Auth> kan vara Default, Negotiate, Kerberos eller NTLM. Standardvärdet är Negotiate. |
| /uni:<Unicode> | Visar utdata i Unicode. <Unicode> kan vara sant eller falskt. Om <Unicode> är sant finns utdata i Unicode. |
Anmärkningar
Använda en konfigurationsfil med parametern sl
Konfigurationsfilen är en XML-fil med samma format som utdata från wevtutil gl <Logname> /f:xml. Om du vill visa formatet för en konfigurationsfil som möjliggör kvarhållning aktiverar du automatisk återställning och anger den maximala loggstorleken i programloggen:
<?xml version=1.0 encoding=UTF-8?> <channel name=Application isolation=Application xmlns=https://schemas.microsoft.com/win/2004/08/events> <logging> <retention>true</retention> <autoBackup>true</autoBackup> <maxSize>9000000</maxSize> </logging> <publishing> </publishing> </channel>
Exempel
Lista namnen på alla loggar:
wevtutil el
Visa konfigurationsinformation om systemloggen på den lokala datorn i XML-format:
wevtutil gl System /f:xml
Använd en konfigurationsfil för att ange attribut för händelseloggar (se Anmärkningar för ett exempel på en konfigurationsfil):
wevtutil sl /c:config.xml
Visa information om Microsoft-Windows-Eventlog händelseutgivare, inklusive metadata om de händelser som utgivaren kan generera:
wevtutil gp Microsoft-Windows-Eventlog /ge:true
Installera utgivare och loggar från myManifest.xml-manifestfilen:
wevtutil im myManifest.xml
Avinstallera utgivare och loggar från myManifest.xml-manifestfilen:
wevtutil um myManifest.xml
Visa de tre senaste händelserna från programloggen i textformat:
wevtutil qe Application /c:3 /rd:true /f:text
Visa status för programloggen:
wevtutil gli Application
Exportera händelser från systemloggen till C:\backup\system0506.evtx:
wevtutil epl System C:\backup\system0506.evtx
Rensa alla händelser från programloggen när du har sparat dem i C:\admin\backups\a10306.evtx:
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
Arkivera den angivna loggfilen (.evtx) i ett fristående format. En underkatalog (LocaleMetaData) skapas och all språkspecifik information sparas i den underkatalogen:
wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us