Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Позволяет получать сведения о журналах событий и издателях. Эту команду можно также использовать для установки и удаления манифестов событий, выполнения запросов и экспорта, архивации и очистки журналов.
Syntax
wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]]
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]
Parameters
| Parameter | Description |
|---|---|
| {el | enum-logs} | Отображает имена всех журналов. |
| {gl | get-log} <> Имя журнала [/f:<Format>] | Отображает сведения о конфигурации для указанного журнала, который включает или нет, текущий максимальный размер журнала и путь к файлу, в котором хранится журнал. |
| {sl | set-log} <> Имя журнала [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:MaxSize<] [/l>:<Level>] [/k:Keywords<] [/ca:>Channel<] [/c:><Config>] | Изменяет конфигурацию указанного журнала. |
| {ep | enum-publishers} | Отображает издателей событий на локальном компьютере. |
| {gp | get-publisher} <Имя> издателя [/ge:Metadata<] [/gm:><Message>] [/f:<Format>]] | Отображает сведения о конфигурации для указанного издателя событий. |
| {im | install-manifest} <Очевидный> [/{rf | resourceFilePath}:значение] [/{mf | messageFilePath}:значение] [/{pf | parameterFilePath}:значение] |
Устанавливает издатели событий и журналы из манифеста. Дополнительные сведения о манифестах событий и использовании этого параметра см. в пакете SDK журнала событий Windows на веб-сайте Microsoft Developers Network (https://msdn.microsoft.comMSDN). Значение представляет собой полный путь к указанному файлу. |
| {um | uninstall-manifest} <Очевидный> | Удаляет все издатели и журналы из манифеста. Дополнительные сведения о манифестах событий и использовании этого параметра см. в пакете SDK журнала событий Windows на веб-сайте Microsoft Developers Network (https://msdn.microsoft.comMSDN). |
| {qe | query-events} <Путь> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd<:Direction>] [/f:Format<] [/l>:<Locale>] [/c:Count<] [/e:><Element>] | Считывает события из журнала событий из файла журнала или с помощью структурированного запроса. По умолчанию вы предоставляете имя журнала для <Path>. Однако, если вы используете опцию /lf , то <Path> должен быть путем к файлу журнала. Если вы используете параметр /sq, Path< должен быть путем к файлу, >содержащему структурированный запрос. |
| {gli | get-loginfo} <> Имя журнала [/lf:<Logfile>] | Отображает сведения о состоянии журнала событий или файла журнала. Если используется параметр /lf , <Logname> — это путь к файлу журнала. Вы можете запустить wevtutil el для получения списка имен журналов. |
| {epl | export-log} <Path><Exportfile> [/lf:Logfile<] [/sq:><Structquery>] [/q:<Query>] [/ow:<Overwrite>] | Экспортирует события из журнала событий из файла журнала или с помощью структурированного запроса в указанный файл. По умолчанию вы предоставляете имя журнала для <Path>. Однако, если вы используете опцию /lf , то <Path> должен быть путем к файлу журнала. Если вы используете параметр /sq, Path< должен быть путем к файлу, >содержащему структурированный запрос. <Exportfile> — это путь к файлу, в котором будут храниться экспортированные события. |
| {al | архив-журнал} <Logpath> [/l:<Locale>] | Архивирует указанный файл журнала в автономном формате. Создается подкаталог с именем языкового стандарта, а все сведения о языковом стандарте сохраняются в этом подкаталоге. После того, как каталог и файл журнала созданы с помощью команды wevtutil al, события в файле могут быть прочитаны независимо от того, установлен издатель или нет. |
| {cl | clear-log} <> Имя журнала [/bu:<Backup>] | Очищает события из указанного журнала событий. Опция /bu может быть использована для резервного копирования очищенных событий. |
Options
| Option | Description |
|---|---|
| /f:<Формат> | Указывает, что выходные данные должны быть XML или текстовым форматом. Если <формат> — XML, выходные данные отображаются в формате XML. Если <формат> является текстом, выходные данные отображаются без XML-тегов. Значение по умолчанию - Text. |
| /e:<Включено> | Включает или отключает журнал. <Включено> значение true или false. |
| /i:<Изоляция> | Задает режим изоляции журнала. <Изоляция> может быть системой, приложением или пользовательским. Режим изоляции журнала определяет, предоставляет ли журнал общий доступ к сеансу с другими журналами в том же классе изоляции. При указании системной изоляции целевой журнал будет предоставлять по крайней мере разрешения на запись в системный журнал. При указании изоляции приложений целевой журнал будет предоставлять по крайней мере разрешения на запись в журнал приложения. Если вы указываете пользовательскую изоляцию, вы также должны предоставить дескриптор безопасности с помощью параметра /ca . |
| /lfn:<Логпатия> | Определяет имя файла журнала. <Logpath> — это полный путь к файлу, в котором служба журнала событий хранит события для этого журнала. |
| /rt:<Хранение> | Задает режим хранения журнала. <Хранение> может иметь значение true или false. Режим хранения журнала определяет поведение службы журнала событий, когда журнал достигает максимального размера. Если журнал событий достигает максимального размера и режим хранения журнала имеет значение true, существующие события сохраняются, а входящие события удаляются. Если режим хранения журнала имеет значение false, входящие события перезаписывают самые старые события в журнале. |
| /ab:<Авто> | Указывает политику автоматического резервного копирования журнала. <Авто> может быть true или false. Если это значение равно true, журнал будет автоматически резервирован при достижении максимального размера. Если это значение равно true, срок хранения (указанный с помощью параметра /rt ) также должен быть установлен в true. |
| /мс:<МаксРазмер> | Задает максимальный размер журнала в байтах. Минимальный размер журнала равен 1048576 байтам (1024 КБ), а файлы журналов всегда равны 64 КБ, поэтому указанное значение будет округляться соответствующим образом. |
| /l:<Уровень> | Определяет фильтр уровня журнала. <Уровень> может быть любым допустимым значением уровня. Этот параметр применим только к журналам с выделенным сеансом. Фильтр уровня можно удалить, задав <значение> 0. |
| /k:<Ключевые слова> | Указывает фильтр ключевых слов журнала. <Ключевые> слова могут быть любой допустимой маской 64-разрядного ключевого слова. Этот параметр применим только к журналам с выделенным сеансом. |
| /ca:<Канал> | Задает разрешение на доступ для журнала событий. <Канал> — это дескриптор безопасности, использующий язык определения дескриптора безопасности (SDDL). Дополнительные сведения о формате SDDL см. на веб-сайтеhttps://msdn.microsoft.com Microsoft Developers Network (MSDN). |
| /c:<Конфигурация> | Указывает путь к файлу конфигурации. Этот параметр приведет к чтению свойств журнала из файла конфигурации, определенного в <конфигурации>. Если этот параметр используется, не следует указывать <параметр Logname> . Имя журнала будет считываться из файла конфигурации. |
| /ge:<Метаданные> | Возвращает сведения о метаданных для событий, которые могут быть вызваны этим издателем. <Метаданные> могут быть истинными или ложными. |
| /gm:<Сообщение> | Отображает фактическое сообщение вместо числового идентификатора сообщения. <Сообщение> может быть true или false. |
| /lf:<Файл журнала> | Указывает, что события должны считываться из журнала или из файла журнала. < > Файл журнала может быть true или false. Если задано значение true, параметр команды — это путь к файлу журнала. |
| /sq:<Structquery> | Указывает, что события должны быть получены со структурированным запросом. <Structquery> может быть true или false. Если значение true, <Путь> — это путь к файлу, который содержит структурированный запрос. |
| /q:<Запрос> | Определяет запрос XPath для фильтрации событий, которые считываются или экспортируются. Если этот параметр не указан, все события будут возвращены или экспортированы. Эта опция недоступна, если параметр /sq имеет значение true. |
| /bm:<Закладка> | Указывает путь к файлу, который содержит закладку из предыдущего запроса. |
| /sbm:<Савебм> | Указывает путь к файлу, который используется для сохранения закладки этого запроса. Расширение имени файла должно быть .xml. |
| /rd:<Направление> | Указывает направление, в котором считываются события. <Направление> может быть true или false. Если задано значение true, сначала возвращаются последние события. |
| /l:<Локаль> | Определяет строку языкового стандарта, используемую для печати текста события в определенном языковом стандарте. Доступно только при печати событий в текстовом формате с помощью опции /f . |
| /c:<Количество> | Задает максимальное количество событий для чтения. |
| /e:<Элемент> | Включает корневой элемент при отображении событий в XML. <Элемент> — это строка, которую требуется в корневом элементе. Например, /e:root приведет к XML, содержащему пару <корневых элементов root></root>. |
| /ow:<Перезаписать> | Указывает, что файл экспорта должен быть перезаписан. <Перезапись> может быть true или false. Если значение true, и файл экспорта, указанный в <exportfile> , уже существует, он будет перезаписан без подтверждения. |
| /bu:<Резервное копирование> | Указывает путь к файлу, в котором будут храниться очищенные события. Включите расширение EVTX в имя файла резервной копии. |
| /r:<Пульт дистанционного управления> | Выполняет команду на удаленном компьютере. <Удаленный> — это имя удаленного компьютера. Параметры im и um не поддерживают удаленное управление. |
| /u:<Имя пользователя> | Указывает другого пользователя для входа на удаленный компьютер. <Имя> пользователя — это имя пользователя в домене формы\пользователь или пользователь. Этот параметр применим только в том случае, если указан параметр /r . |
| /p:<Пароль> | Указывает пароль для пользователя. Если используется опция /u и эта опция не указана или <Пароль> равен *, пользователю будет предложено ввести пароль. Этот параметр применим только в том случае, если указан параметр /u . |
| /a:<Аутентификация> | Определяет тип проверки подлинности для подключения к удаленному компьютеру. < > Проверка подлинности может быть по умолчанию, согласование, Kerberos или NTLM. Значение по умолчанию — "Согласование". |
| /uni:<Юникод> | Отображает выходные данные в Юникоде. <Юникод> может иметь значение true или false. Если <Юникод> имеет значение true, выходные данные будут использоваться в Юникоде. |
Remarks
Использование файла конфигурации с параметром sl
Файл конфигурации — это XML-файл с тем же форматом, что и выходные данные wevtutil gl <Logname> /f:xml. Чтобы открыть формат файла конфигурации, который включает хранение, включает автоматическое восстановление и задает максимальный размер журнала в журнале приложений:
<?xml version=1.0 encoding=UTF-8?> <channel name=Application isolation=Application xmlns=https://schemas.microsoft.com/win/2004/08/events> <logging> <retention>true</retention> <autoBackup>true</autoBackup> <maxSize>9000000</maxSize> </logging> <publishing> </publishing> </channel>
Examples
Список имен всех журналов:
wevtutil el
Отображение сведений о конфигурации журнала системы на локальном компьютере в формате XML:
wevtutil gl System /f:xml
Используйте файл конфигурации для задания атрибутов журнала событий (см. примечания для примера файла конфигурации):
wevtutil sl /c:config.xml
Отображение сведений о издателе событий microsoft-Windows-Eventlog, включая метаданные о событиях, которые издатель может вызвать:
wevtutil gp Microsoft-Windows-Eventlog /ge:true
Установите издатели и журналы из файла манифеста myManifest.xml:
wevtutil im myManifest.xml
Удалите издатели и журналы из файла манифеста myManifest.xml:
wevtutil um myManifest.xml
Отображение трех последних событий из журнала приложений в текстовом формате:
wevtutil qe Application /c:3 /rd:true /f:text
Отображение состояния журнала приложений:
wevtutil gli Application
Экспорт событий из системного журнала в C:\backup\system0506.evtx:
wevtutil epl System C:\backup\system0506.evtx
Удалите все события из журнала приложений после сохранения их в C:\admin\backups\a10306.evtx:
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
Архивируйте указанный (.evtx) файл журнала в самостоятельный формат. Создается подкаталог (LocaleMetaData), а все сведения, относящиеся к языковому стандарту, сохраняются в этом подкаталоге:
wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us