WEVTUTIL – управление событиями в Windows.Утилита wevtutil.exe, начиная с Windows 7 является стандартным компонентом системы и предназначена для получение списка имен журналов, управлением их конфигурацией, получения списка источников событий, установки или удаления издателей и журналов событий из манифеста, получения сведений о состоянии журнала, а также для очистки, архивирования и экспорта журналов системы. Формат командной строки: wevtutil КОМАНДА [АРГУМЕНТ [АРГУМЕНТ]...] [/ПАРАМЕТР:ЗНАЧЕНИЕ [/ПАРАМЕТР:ЗНАЧЕНИЕ]...] Вы можете указывать имена команд и параметров как в краткой (например, "ep /uni"), так и в полной (например, "enum-publishers /unicode") форме. Команды, параметры и их значения вводятся без учета регистра. Для обозначения переменных используются прописные буквы. Команды:
Общие параметры: /{r | remote}:ЗНАЧЕНИЕ - Если этот параметр задан, команда выполняется на удаленном компьютере. В качестве значения необходимо ввести имя или IP-адрес удаленного компьютера. Параметры /im и /um не поддерживают удаленные операции. /{u | username}:ЗНАЧЕНИЕ - Выбор другого имени пользователя для входа на удаленный компьютер. В качестве значения необходимо ввести имя пользователя с указанием домена ("домен\пользователь") или без него. Используется, только если задан параметр /r. /{p | password}:ЗНАЧЕНИЕ - Пароль для указанного пользователя. Если значение не указано или введен знак "*", пользователю будет предложено ввести пароль. Используется, только если задан параметр /u. /{a | authentication}:[Default|Negotiate|Kerberos|NTLM] - Тип проверки подлинности для подключения к удаленному компьютеру. По умолчанию используется значение "Negotiate". /{uni | unicode}:[true|false] - Отображение выходных данных в Юникоде. Если выбрано значение "true", выходные данные выводятся в Юникоде. Для получения дополнительных сведений о конкретной команде введите следующий текст: wevtutil КОМАНДА /? Примеры использования WENTUTIL.wevtutil get-log /? - отобразить подсказку по использованию команды get-log (gl). wevtutil el - отобразить список имен журналов. Имя или его часть, позволяющая однозначно идентифицировать журнал, должны использоваться в прочих подкомандах WEVTUTIL. wevtutil el > %TEMP%\eventlogs.txt - то же, что и в предыдущем случае, но с выводом результатов в текстовый файл каталога временных файлов. Для чтения результатов можно открыть его, например, блокнотом: notepad %TEMP%\eventlogs.txt Использование вставки фрагментов данных из текстового файла упрощает работу в командной строке и уменьшает вероятность ошибки. wevtutil el /r:Comp0 - отобразить список имен журналов удаленного компьютера Comp0. При подключении к удаленному компьютеру использовать учетную запись текущего пользователя. wevtutil el /r:192.168.1.3 /u:user1 /p:paswd1 - отобразить список имен журналов удаленного компьютера с IP-адресом 192.168.1.3. При подключении к удаленному компьютеру использовать имя пользователя user1 и пароль paswd1 wevtutil gli System /lf:false - отобразить информацию о журнале с именем System без указания файла журнала (lf:false) Пример отображаемой информации: creationTime: 2017-02-10T07:22:58.552Z lastAccessTime: 2017-02-10T07:22:58.552Z lastWriteTime: 2017-03-07T08:39:30.870Z fileSize: 1118208 attributes: 2080 numberOfLogRecords: 1569 oldestRecordNumber: 1 wevtutil gl System - отобразить сведения о конфигурации журнала System. Пример отображаемой информации: name: System enabled: true type: Admin owningPublisher: isolation: System channelAccess:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x3;;;BO)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x3;;;SU)(A;;0x1;;;S-1-5-3)(A;;0x2;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573) logging: logFileName: %SystemRoot%\System32\Winevt\Logs\System.evtx retention: false autoBackup: false maxSize: 20971520 publishing: fileMax: 1 Выводятся сведения о конфигурации журнала событий, включая его состояние (включен или выключен), текущий максимальный размер и путь к файлу, где хранится журнал. wevtutil gl System /f:xml - то же, что и в предыдущем примере, но с отображением результатов в XML-формате. wevtutil ep - отобразить список издателей (источников записей о событиях). wevtutil gp System - отобразить сведения о конфигурации издателей журнала System. Пример отображаемой информации: name: System guid: 00000000-0000-0000-0000-000000000000 helpLink: message: channels: channel: name: System id: 8 flags: 1 message: levels: opcodes: tasks: task: name: Устройства value: 1 eventGUID: 00000000-0000-0000-0000-000000000000 message: 1 task: name: Диск value: 2 eventGUID: 00000000-0000-0000-0000-000000000000 message: 2 task: name: Принтеры wevtutil gp Microsoft-Windows-Eventlog /ge:true /gm:true - вывести сведения об издателе событий Microsoft-Windows-Eventlog, включая метаданные событий, которые этот издатель может вызывать с отображением в текстовом виде. WEVTUtil install-manifest C:\Manifest1.man - установить издателей и журналы по данным из файла манифеста. Файл должен иметь формат, описанный в пакете Windows Eventing SDK, доступном на веб-сайте MSDN WEVTUtil uninstall-manifest C:\Manifest1.man - удалить издателей и журналы, по содержимому файла манифеста. wevtutil qe Application /c:3 /rd:true /f:text - отобразить 3 последних события журнала приложений в текстовом формате. WEVTUtil query-events System /count:20 /rd:true /format:text /q:"Event[System[(EventID=1)]]" - Отобразить 20 последних событий с кодом Event ID равным 1 из журнала системы в текстовом виде. WEVTUtil export-log System C:\backup\sys-saved.evtx - сохранить содержимое журнала событий системы в файл. WEVTUtil.exe clear-log Application - очистить журнал приложений Windows. wevtutil.exe cl Application /bu:C:\backup\all-event.evtx - То же, что и в предыдущем примере, но перед очисткой журнала выполняется его сохранение в файл C:\backup\all-event.evtx |
|
|
|