可讓您擷取事件記錄檔和發行者的相關信息。 您也可以使用此命令來安裝和卸載事件指令清單、執行查詢,以及匯出、封存和清除記錄。
語法
wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]]
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]
參數
| 參數 | 說明 |
|---|---|
| {el | enum-logs} | 顯示所有記錄的名稱。 |
| {gl | get-log} <Logname> [/f:<Format>] | 顯示指定記錄的組態資訊,包括是否啟用記錄、記錄檔目前的大小上限,以及儲存記錄檔之檔案的路徑。 |
| {sl | set-log} <Logname> [/e:Enabled<] [/i:><Isolation>] [/lfn:<Logpath>] [/rt<:Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k<:Keywords>] [/ca:<Channel>] [/c:<Config>] | 修改指定記錄的組態。 |
| {ep | enum-publishers} | 顯示本機電腦上的事件發行者。 |
| {gp | get-publisher} <Publishername> [/ge:Metadata<] [/gm:>Message<] [/f:><Format>]] | 顯示指定事件發行者的組態資訊。 |
| {im | install-manifest} <清單> [/{rf | resourceFilePath}:value] [/{mf | messageFilePath}:value] [/{pf | parameterFilePath}:value] |
從指令清單安裝事件發行者和記錄。 如需事件指令清單和使用此參數的詳細資訊,請參閱 Microsoft 開發人員網路 (MSDN) 網站 (https://msdn.microsoft.comMSDN) 網站上的 Windows 事件記錄檔 SDK。 此值是所提及檔案的完整路徑。 |
| {um | uninstall-manifest} <清單> | 從指令清單卸載所有發行者和記錄。 如需事件指令清單和使用此參數的詳細資訊,請參閱 Microsoft 開發人員網路 (MSDN) 網站 (https://msdn.microsoft.comMSDN) 網站上的 Windows 事件記錄檔 SDK。 |
| {qe | query-events} <路徑> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:Bookmark<] [/sbm:><Savebm>] [/rd<:D irection>] [/f:<Format>] [/l<:Locale>] [/c:<Count>] [/e:<Element>] | 從事件記錄檔、記錄檔或使用結構化查詢讀取事件。 根據預設,您會提供Path<的>記錄檔名稱。 不過,如果您使用 /lf 選項, <則 Path> 必須是記錄檔的路徑。 如果您使用 /sq 參數, <Path> 必須是包含結構化查詢之檔案的路徑。 |
| {gli | get-loginfo} <Logname> [/lf:<Logfile>] | 顯示事件記錄檔或記錄檔的狀態資訊。 如果使用 /lf 選項, <Logname> 是記錄檔的路徑。 您可以執行 wevtutil el 以取得記錄名稱清單。 |
| {epl | export-log} <Path><Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>] | 從事件記錄檔、記錄檔或使用結構化查詢匯出事件至指定的檔案。 根據預設,您會提供Path<的>記錄檔名稱。 不過,如果您使用 /lf 選項, <則 Path> 必須是記錄檔的路徑。 如果您使用 /sq 選項, <Path> 必須是包含結構化查詢的檔案路徑。 <Exportfile> 是將儲存導出事件之檔案的路徑。 |
| {al | archive-log} <Logpath> [/l:<Locale>] | 以獨立格式封存指定的記錄檔。 系統會建立具有地區設定名稱的子目錄,並將所有地區設定特定資訊儲存在該子目錄中。 執行 wevtutil al 建立目錄和記錄檔之後,就可以讀取檔案中的事件,無論是否已安裝發行者。 |
| {cl | clear-log} <Logname> [/bu:<Backup>] | 從指定的事件記錄檔清除事件。 /bu 選項可用來備份已清除的事件。 |
選項
| 選項 | 說明 |
|---|---|
| /f:<Format> | 指定輸出應該是 XML 或文字格式。 如果 <Format> 是 XML,則輸出會以 XML 格式顯示。 如果 <Format> 為 Text,則輸出會顯示沒有 XML 標籤。 預設為 Text。 |
| /e:<Enabled> | 啟用或停用記錄檔。 <Enabled> 可以是 true 或 false。 |
| /i:<Isolation> | 設定記錄隔離模式。 <隔離> 可以是系統、應用程式或自定義。 記錄的隔離模式會決定記錄檔是否與相同隔離類別中的其他記錄共用會話。 如果您指定系統隔離,目標記錄檔會至少與系統記錄檔共用寫入許可權。 如果您指定應用程式隔離,目標記錄檔至少會與應用程式記錄檔共用寫入許可權。 如果您指定自定義隔離,也必須使用 /ca 選項來提供安全性描述元。 |
| /lfn:<Logpath> | 定義記錄檔名稱。 <Logpath> 是檔案的完整路徑,其中事件記錄服務會儲存此記錄的事件。 |
| /rt:<Retention> | 設定記錄保留模式。 <保留> 期可以是 true 或 false。 記錄保留模式會決定記錄檔服務達到其大小上限時的行為。 如果事件記錄檔達到其大小上限,且記錄保留模式為 true,則會保留現有的事件,並捨棄傳入事件。 如果記錄保留模式為 false,傳入事件會覆寫記錄檔中最舊的事件。 |
| /ab:<Auto> | 指定記錄自動備份原則。 <Auto> 可以是 true 或 false。 如果此值為 true,則記錄檔會在達到大小上限時自動備份。 如果此值為 true,則保留期(以 /rt 選項指定)也必須設定為 true。 |
| /ms:<MaxSize> | 設定以位元組為單位的記錄檔大小上限。 記錄大小下限為1048576個字節(1024KB),記錄檔一律為 64KB 的倍數,因此您輸入的值會據以四捨五入。 |
| /l:<Level> | 定義記錄的層級篩選。 <層級> 可以是任何有效的層級值。 此選項僅適用於具有專用會話的記錄。 您可以將 [層級<] 設定>為 0 來移除層級篩選。 |
| /k:<Keywords> | 指定記錄檔的關鍵詞篩選。 < >關鍵詞可以是任何有效的 64 位關鍵詞遮罩。 此選項僅適用於具有專用會話的記錄。 |
| /ca:<Channel> | 設定事件記錄檔的訪問許可權。 < >通道是使用安全性描述元定義語言 (SDDL) 的安全性描述元。 如需 SDDL 格式的詳細資訊,請參閱 Microsoft 開發人員網路 (MSDN) 網站 (https://msdn.microsoft.com)。 |
| /c:<Config> | 指定組態檔的路徑。 此選項會導致從 Config< 中>定義的組態檔讀取記錄屬性。 如果您使用此選項,則不得指定 <Logname> 參數。 記錄檔名稱將會從組態檔讀取。 |
| /ge:<Metadata> | 取得這個發行者可以引發之事件的元數據資訊。 <元數據> 可以是 true 或 false。 |
| /gm:<Message> | 顯示實際的訊息,而不是數值訊息標識碼。 <訊息> 可以是 true 或 false。 |
| /lf:<Logfile> | 指定事件應該從記錄檔或記錄檔讀取。 <Logfile> 可以是 true 或 false。 如果為 true,則命令的參數是記錄檔的路徑。 |
| /sq:<Structquery> | 指定應該使用結構化查詢來取得事件。 <結構查詢> 可以是 true 或 false。 如果為 true,Path <> 是包含結構化查詢之檔案的路徑。 |
| /q:<Query> | 定義 XPath 查詢,以篩選讀取或導出的事件。 如果未指定此選項,則會傳回或匯出所有事件。 當 /sq 為 true 時,無法使用此選項。 |
| /bm:<Bookmark> | 指定檔案的路徑,其中包含先前查詢中的書籤。 |
| /sbm:<Savebm> | 指定用來儲存此查詢書籤的檔案路徑。 擴充名應 .xml。 |
| /rd:<Direction> | 指定讀取事件的方向。 <方向> 可以是 true 或 false。 如果為 true,則會先傳回最新的事件。 |
| /l:<Locale> | 定義地區設定字串,用來列印特定地區設定中的事件文字。 只有在使用 /f 選項以文字格式列印事件時才可使用。 |
| /c:<Count> | 設定要讀取的事件數目上限。 |
| /e:<Element> | 在 XML 中顯示事件時,包含根元素。 <元素> 是您要在根元素內使用的字串。 例如, /e:root 會產生包含根元素組 <根>目錄的 XML。 |
| /ow:<Overwrite> | 指定應該覆寫匯出檔案。 <覆寫> 可以是 true 或 false。 如果為 true,且 Exportfile< 中指定的>匯出檔案已經存在,則會在未確認的情況下覆寫它。 |
| /bu:<Backup> | 指定將儲存清除事件之檔案的路徑。 在備份檔的名稱中包含 .evtx 擴展名。 |
| /r:<Remote> | 在遠端電腦上執行 命令。 <Remote> 是遠端電腦的名稱。 im 和 um 參數不支援遠端作業。 |
| /u:<Username> | 指定要登入遠端電腦的不同使用者。 <用戶> 名稱是網域\使用者或使用者表單中的用戶名稱。 這個選項僅適用於指定 /r 選項時。 |
| /p:<Password> | 指定用戶的密碼。 如果使用 /u 選項,但未指定此選項或 <密碼> 為 *,則會提示使用者輸入密碼。 這個選項僅適用於指定 /u 選項時。 |
| /a:<Auth> | 定義連線到遠端電腦的驗證類型。 <驗證> 可以是 Default、Negotiate、Kerberos 或 NTLM。 預設值為 Negotiate。 |
| /uni:<Unicode> | 在 Unicode 中顯示輸出。 <Unicode> 可以是 true 或 false。 如果 <Unicode> 為 true,則輸出會位於 Unicode 中。 |
備註
搭配 sl 參數使用組態檔
組態檔是 XML 檔案,其格式與 wevtutil gl <Logname> /f:xml 的輸出相同。 若要顯示啟用保留的組態檔格式,請啟用自動備份,並在應用程式記錄檔上設定記錄大小上限:
<?xml version=1.0 encoding=UTF-8?> <channel name=Application isolation=Application xmlns=https://schemas.microsoft.com/win/2004/08/events> <logging> <retention>true</retention> <autoBackup>true</autoBackup> <maxSize>9000000</maxSize> </logging> <publishing> </publishing> </channel>
範例
列出所有記錄的名稱:
wevtutil el
以 XML 格式顯示本機電腦上系統記錄的組態資訊:
wevtutil gl System /f:xml
使用組態檔來設定事件記錄檔屬性(如需組態檔的範例,請參閱):
wevtutil sl /c:config.xml
顯示MicrosoftWindows-Eventlog 事件發行者的相關信息,包括發行者可以引發之事件的元數據:
wevtutil gp Microsoft-Windows-Eventlog /ge:true
從 myManifest.xml 指令清單檔安裝發行者和記錄:
wevtutil im myManifest.xml
從 myManifest.xml 指令清單檔案卸載發行者和記錄:
wevtutil um myManifest.xml
以文字格式顯示應用程式記錄檔中的三個最近事件:
wevtutil qe Application /c:3 /rd:true /f:text
顯示應用程式記錄檔的狀態:
wevtutil gli Application
將事件從系統記錄檔匯出至 C:\backup\system0506.evtx:
wevtutil epl System C:\backup\system0506.evtx
將事件儲存至 C:\admin\backups\a10306.evtx 之後,清除應用程式記錄檔中的所有事件:
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
以獨立格式封存指定的 (.evtx) 記錄檔。 系統會建立子目錄 (LocaleMetaData),並將所有地區設定特定資訊儲存在該子目錄中:
wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us