[TOC]
系统日志查看
wevtutil 命令
描述:Windows 事件命令行实用程序,用于检索有关事件日志和发布者的信息,安装和卸载事件清单,运行查询以及导出、存档和清除日志。
基础语法:
系统日志信息查看一览表
|[TOC]
系统日志查看
wevtutil 命令
描述:Windows 事件命令行实用程序,用于检索有关事件日志和发布者的信息,安装和卸载事件清单,运行查询以及导出、存档和清除日志。
基础语法:1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45wevtutil COMMAND [ARGUMENT [ARGUMENT] ...] [/OPTION:VALUE [/OPT]
wevtutil COMMAND /? #二级命令帮助
#命令参数:
el | enum-logs 列出日志名称。
gl | get-log 获取日志配置信息。
sl | set-log 修改日志配置,为应用程序日志设置保留、自动备份和日志大小上限。(之后输出XML)
ep | enum-publishers 列出事件发布者。
gp | get-publisher 获取发布者配置信息。
/{ge | getevents}:[true|false] #获取此发布者可能引发的事件的元数据信息。
/{gm | getmessage}:[true|false] #显示实际消息,而不是数字消息 ID。
/{f | format}:[XML|Text] #指定日志文件格式。默认值为 Text。如果指定 XML,则使用 XML 格式打印输出。如果指定 Text,则不使用 XML 标记打印输出。
im | install-manifest 从清单中安装事件发布者和日志。
/resourceFilePath)形式的选项名称。 #选项及其值不区分大小写。
/{rf | resourceFilePath}:VALUE #要替换的清单中的提供程序元素的 ResourceFileName 属性。 #VALUE 应该是资源文件的完整路径。
/{mf | messageFilePath}:VALUE #要替换的清单中的提供程序元素的 MessageFileName 属性。VALUE 应该是消息文件的完整路径。
/{pf | parameterFilePath}:VALUE #要替换的清单中的提供程序元素的 ParameterFileName 属性。VALUE 应该是参数文件的完整路径。
um | uninstall-manifest 从清单中卸载事件发布者和日志。
qe | query-events 从日志或日志文件中查询事件。
* /{rd | reversedirection}:[true|false] #事件读取方向。如果为 true,则先返回最近的事件。
* /{lf | logfile}:[true|false] #如果为 true,则 <PATH> 是日志文件的完整路径。
* /{sq | structuredquery}:[true|false] # 如果为 true,则 <PATH> 是包含结构化查询的文件的完整路径。
* /{q | query}:VALUE # VALUE 是用于筛选读取的事件的 XPath 查询。如果未指定,则返回所有事件。如果 /sq 为 true,则不能使用此选项。
* /{bm | bookmark}:VALUE # VALUE 是包含上一查询的书签的文件的完整路径。
* /{sbm | savebookmark}:VALUE #VALUE 是用于保存此查询的书签的文件的完整路径。文件扩展名应为 .xml。
* /{f | format}:[XML|Text|RenderedXml] #默认值为 XML。如果指定 Text,则使用易于读取的文本格式打印事件,而不是使用 XML 格式。
* #如果指定 RenderedXml,则使用 XML 格式打印事件并包含呈现信息,使用 Text 或 RenderedXml 格式打印事件,比使用 XML 格式打印慢。
* /{l | locale}:VALUE # VALUE 是以特定区域设置打印事件文本的区域设置字符串。只有在使用 /f 选项以文本格式打印事件时,才能使用该字符串。
* /{c | count}:<n> # 要读取的最大事件数。ve
* /{e | element}:VALUE #在输出事件 XML 时,包含一个根元素以生成正确格式的 XML。VALUE 是要包含在根元素中的字符串。例如指定 /e:root 将导致使用根元素对 <root></root> 输出 XML。
gli | get-log-info 获取日志状态信息。
epl | export-log 导出日志。
al | archive-log 存档导出的日志。
cl | clear-log 清除日志。
#常用选项:
/{r | remote}:VALUE #如果指定,则在远程计算机上运行该命令。VALUE 是远程计算机名称。
/im 和 /um #选项不支持远程操作。
/{u | username}:VALUE #指定一个不同的用户以登录到远程计算机。VALUE 是 domain\user 或 user 形式的用户名。只有在指定 /r 选项时
/{p | password}:VALUE #指定的用户密码。如果未指定,或者 VALUE 为 "*",则会提示用户输入密码。只有在指定 /u 选项时才适用。
/{a | authentication}:[Default|Negotiate|Kerberos|NTLM] #用于连接到远程计算机的身份验证类型。默认值为 Negotiate。
/{uni | unicode}:[true|false] #使用 Unicode 显示输出。如果为 true,则使用 Unicode 显示输出。
实际案例: weiyigeek.top-1
2
3
4
5
6
7
8
9
10
11
12
13#Step0 基础操作
wevtutil el #列出日志名称 Application / System / Secuirty
wevtutil ep #列出当前计算机上的事件发布者(效果同上)
wevtutil gl 日志名称 #获取日志配置信息。
#Step1 查询所有登录、注销相关的日志语法:(需查看Windows常见安全事件日志ID汇总)
wevtutil qe security /rd:true /f:text /q:"*[system/eventid=4624 and 4623 4627]" /r:computer /u:user /p:password #rd读取最近的记录
wevtutil qe security /rd:true /f:text /q:"*[system/eventid=4624 and 4623 and 4672]" /r:dc1
#Step2 清空SECURITY/ SYSTEM /APPLICATION 日志
wevtutil cl security
wevtutil cl system
wevtutil cl application
1 | #3.使用文本格式显示应用程序日志中的三个最近的事件。 |
1 | #5.以下示例使用 XML 格式显示有关本地系统日志的配置信息。 |
weiyigeek.top-
1 | #7.显示EventID信息以及配置信息 |
weiyigeek.top-
1 | #9.查看日志的大小及其建立信息 |
X
你好看友,欢迎关注博主微信公众号哟! ❤
这将是我持续更新文章的动力源泉,谢谢支持!(๑′ᴗ‵๑)
温馨提示: 未解锁的用户不能粘贴复制文章内容哟!
方式1.请访问本博主的B站【WeiyiGeek】首页关注UP主,
将自动随机获取解锁验证码。
Method 2.Please visit 【My Twitter】. There is an article verification code in the homepage.
方式3.扫一扫下方二维码,关注本站官方公众号
回复:验证码
将获取解锁(有效期7天)本站所有技术文章哟!
@WeiyiGeek - 为了能到远方,脚下的每一步都不能少
欢迎各位志同道合的朋友一起学习交流,如文章有误请在下方留下您宝贵的经验知识,个人邮箱地址【master#weiyigeek.top】或者个人公众号【WeiyiGeek】联系我。
更多文章来源于【WeiyiGeek Blog - 为了能到远方,脚下的每一步都不能少】, 个人首页地址( https://weiyigeek.top )
专栏书写不易,如果您觉得这个专栏还不错的,请给这篇专栏 【点个赞、投个币、收个藏、关个注、转个发、赞个助】,这将对我的肯定,我将持续整理发布更多优质原创文章!。
最后更新时间:
文章原始路径:_posts/系统运维/Windows/常用命令/系统查看类命令/系统日志信息查看一览表.md
转载注明出处,原文地址:https://blog.weiyigeek.top/2019/7-29-233.html
本站文章内容遵循 知识共享 署名 - 非商业性 - 相同方式共享 4.0 国际协议