WEVTUTIL – управление событиями в Windows.



Утилита wevtutil.exe, начиная с Windows 7 является стандартным компонентом системы и предназначена для получение списка имен журналов, управлением их конфигурацией, получения списка источников событий, установки или удаления издателей и журналов событий из манифеста, получения сведений о состоянии журнала, а также для очистки, архивирования и экспорта журналов системы.

Формат командной строки:

wevtutil КОМАНДА [АРГУМЕНТ [АРГУМЕНТ]...] [/ПАРАМЕТР:ЗНАЧЕНИЕ [/ПАРАМЕТР:ЗНАЧЕНИЕ]...]

Вы можете указывать имена команд и параметров как в краткой (например, "ep /uni"), так и в полной (например, "enum-publishers /unicode") форме. Команды, параметры и их значения вводятся без учета регистра. Для обозначения переменных используются прописные буквы.

Команды:

el | enum-logs
gl | get-log
sl | set-log
ep | enum-publishers
gp | get-publisher
im | install-manifest
um | uninstall-manifest
qe | query-events
gli | get-log-info
epl | export-log
al | archive-log
cl | clear-log
Получение списка имен журналов.
Получение сведений о конфигурации журнала.
Изменение конфигурации журнала.
Получение списка издателей событий.
Получение сведений о конфигурации издателя.
Установка издателей и журналов событий из манифеста.
Удаление издателей и журналов событий из манифеста.
Запрос событий из журнала или файла журнала.
Получение сведений о состоянии журнала.
Экспорт журнала.
Архивирование экспортированного журнала.
Очистка журнала.



Общие параметры:

/{r | remote}:ЗНАЧЕНИЕ - Если этот параметр задан, команда выполняется на удаленном компьютере. В качестве значения необходимо ввести имя или IP-адрес удаленного компьютера. Параметры /im и /um не поддерживают удаленные операции.
/{u | username}:ЗНАЧЕНИЕ - Выбор другого имени пользователя для входа на удаленный компьютер. В качестве значения необходимо ввести имя пользователя с указанием домена ("домен\пользователь") или без него. Используется, только если задан параметр /r.
/{p | password}:ЗНАЧЕНИЕ - Пароль для указанного пользователя. Если значение не указано или введен знак "*", пользователю будет предложено ввести пароль. Используется, только если задан параметр /u.
/{a | authentication}:[Default|Negotiate|Kerberos|NTLM] - Тип проверки подлинности для подключения к удаленному компьютеру. По умолчанию используется значение "Negotiate".
/{uni | unicode}:[true|false] - Отображение выходных данных в Юникоде. Если выбрано значение "true", выходные данные выводятся в Юникоде.

Для получения дополнительных сведений о конкретной команде введите следующий текст:

wevtutil КОМАНДА /?

Примеры использования WENTUTIL.

wevtutil /? - отобразить подсказку по использованию.

wevtutil get-log /? - отобразить подсказку по использованию команды get-log (gl).

wevtutil el - отобразить список имен журналов. Имя или его часть, позволяющая однозначно идентифицировать журнал, должны использоваться в прочих подкомандах WEVTUTIL.

wevtutil el > %TEMP%\eventlogs.txt - то же, что и в предыдущем случае, но с выводом результатов в текстовый файл каталога временных файлов. Для чтения результатов можно открыть его, например, блокнотом:
notepad %TEMP%\eventlogs.txt
Использование вставки фрагментов данных из текстового файла упрощает работу в командной строке и уменьшает вероятность ошибки.

wevtutil el /r:Comp0 - отобразить список имен журналов удаленного компьютера Comp0. При подключении к удаленному компьютеру использовать учетную запись текущего пользователя.

wevtutil el /r:192.168.1.3 /u:user1 /p:paswd1

- отобразить список имен журналов удаленного компьютера с IP-адресом 192.168.1.3. При подключении к удаленному компьютеру использовать имя пользователя user1 и пароль paswd1

wevtutil gli System /lf:false - отобразить информацию о журнале с именем System без указания файла журнала (lf:false)

Пример отображаемой информации:

creationTime: 2017-02-10T07:22:58.552Z
lastAccessTime: 2017-02-10T07:22:58.552Z
lastWriteTime: 2017-03-07T08:39:30.870Z
fileSize: 1118208
attributes: 2080
numberOfLogRecords: 1569
oldestRecordNumber: 1

wevtutil gl System - отобразить сведения о конфигурации журнала System. Пример отображаемой информации:

name: System
enabled: true
type: Admin
owningPublisher:
isolation: System
channelAccess:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x3;;;BO)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x3;;;SU)(A;;0x1;;;S-1-5-3)(A;;0x2;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)
logging: logFileName: %SystemRoot%\System32\Winevt\Logs\System.evtx
retention: false
autoBackup: false
maxSize: 20971520
publishing:
fileMax: 1

Выводятся сведения о конфигурации журнала событий, включая его состояние (включен или выключен), текущий максимальный размер и путь к файлу, где хранится журнал.

wevtutil gl System /f:xml - то же, что и в предыдущем примере, но с отображением результатов в XML-формате.

wevtutil ep - отобразить список издателей (источников записей о событиях).

wevtutil gp System - отобразить сведения о конфигурации издателей журнала System. Пример отображаемой информации:

name: System
guid: 00000000-0000-0000-0000-000000000000
helpLink:
message:
channels:
channel:
name: System
id: 8
flags: 1
message:
levels:
opcodes:
tasks:
task:
name: Устройства
value: 1
eventGUID: 00000000-0000-0000-0000-000000000000
message: 1
task:
name: Диск
value: 2
eventGUID: 00000000-0000-0000-0000-000000000000
message: 2
task:
name: Принтеры

wevtutil gp Microsoft-Windows-Eventlog /ge:true /gm:true - вывести сведения об издателе событий Microsoft-Windows-Eventlog, включая метаданные событий, которые этот издатель может вызывать с отображением в текстовом виде.

WEVTUtil install-manifest C:\Manifest1.man - установить издателей и журналы по данным из файла манифеста. Файл должен иметь формат, описанный в пакете Windows Eventing SDK, доступном на веб-сайте MSDN

WEVTUtil uninstall-manifest C:\Manifest1.man - удалить издателей и журналы, по содержимому файла манифеста.

wevtutil qe Application /c:3 /rd:true /f:text - отобразить 3 последних события журнала приложений в текстовом формате.

WEVTUtil query-events System /count:20 /rd:true /format:text /q:"Event[System[(EventID=1)]]" - Отобразить 20 последних событий с кодом Event ID равным 1 из журнала системы в текстовом виде.

WEVTUtil export-log System C:\backup\sys-saved.evtx - сохранить содержимое журнала событий системы в файл.

WEVTUtil.exe clear-log Application - очистить журнал приложений Windows.

wevtutil.exe cl Application /bu:C:\backup\all-event.evtx - То же, что и в предыдущем примере, но перед очисткой журнала выполняется его сохранение в файл C:\backup\all-event.evtx









Весь список команд CMD Windows