Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous permet de récupérer des informations sur les journaux d’événements et les éditeurs. Vous pouvez également utiliser cette commande pour installer et désinstaller des manifestes d’événements, exécuter des requêtes et exporter, archiver et effacer les journaux.
Syntax
wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]]
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]
Parameters
| Parameter | Description |
|---|---|
| {el | enum-logs} | Affiche les noms de tous les journaux. |
| {gl | get-log} <Logname> [/f :<Format>] | Affiche les informations de configuration pour le journal spécifié, notamment si le journal est activé ou non, la limite de taille maximale actuelle du journal et le chemin d’accès au fichier où le journal est stocké. |
| {sl | set-log} <Logname> [/e :Enabled<] [/i :><Isolation>] [/lfn :Logpath<] [/rt :Retention>] [/ab :<Auto>] [/ms :<MaxSize>] [/l :<Level>] [/k :<Keywords>] [/ca :<><Channel>] [/c :<Config>] | Modifie la configuration du journal spécifié. |
| {ep | enum-publishers} | Affiche les éditeurs d’événements sur l’ordinateur local. |
| {gp | get-publisher} <Publishername> [/ge :<Metadata>] [/gm :<Message>] [/f :<Format>]] | Affiche les informations de configuration de l’éditeur d’événements spécifié. |
| {im | install-manifest} <Manifeste> [/{rf | resourceFilePath} :value] [/{mf | messageFilePath} :value] [/{pf | parameterFilePath} :value] |
Installe les éditeurs d’événements et les journaux à partir d’un manifeste. Pour plus d’informations sur les manifestes d’événements et l’utilisation de ce paramètre, consultez le Kit de développement logiciel (SDK) du journal des événements Windows sur le sitehttps://msdn.microsoft.com web Microsoft Developers Network (MSDN). La valeur est le chemin d’accès complet au fichier mentionné. |
| {um | uninstall-manifest} <Manifeste> | Désinstalle tous les éditeurs et journaux d’activité d’un manifeste. Pour plus d’informations sur les manifestes d’événements et l’utilisation de ce paramètre, consultez le Kit de développement logiciel (SDK) du journal des événements Windows sur le sitehttps://msdn.microsoft.com web Microsoft Developers Network (MSDN). |
| {qe | query-events} <Chemin> [/lf :<Logfile>] [/sq :<Structquery>] [/q :Query<] [/bm :>Bookmark<] [/sbm :Savebm>] [/rd :<>Direction<] [/f :>Format<] [/l :>Locale<] [/c :><Count>] [/e :<Element>] | Lit les événements à partir d’un journal des événements, à partir d’un fichier journal ou à l’aide d’une requête structurée. Par défaut, vous fournissez un nom de journal pour <path>. Toutefois, si vous utilisez l’option /lf, Path <> doit être un chemin d’accès à un fichier journal. Si vous utilisez le paramètre /sq , <Path> doit être un chemin d’accès à un fichier contenant une requête structurée. |
| {gli | get-loginfo} <Logname> [/lf :<Logfile>] | Affiche des informations d’état sur un journal des événements ou un fichier journal. Si l’option /lf est utilisée, <Logname> est un chemin d’accès à un fichier journal. Vous pouvez exécuter wevtutil el pour obtenir une liste de noms de journaux. |
| {epl | export-log} <Path><Exportfile> [/lf :<Logfile>] [/sq :<Structquery>] [/q :<Query>] [/ow :<Overwrite>] | Exporte des événements à partir d’un journal des événements, à partir d’un fichier journal ou à l’aide d’une requête structurée vers le fichier spécifié. Par défaut, vous fournissez un nom de journal pour <path>. Toutefois, si vous utilisez l’option /lf, Path <> doit être un chemin d’accès à un fichier journal. Si vous utilisez l’option /sq , <Path> doit être un chemin d’accès à un fichier contenant une requête structurée. <Exportfile> est un chemin d’accès au fichier dans lequel les événements exportés seront stockés. |
| {al | archive-log} <Logpath> [/l :<Locale>] | Archive le fichier journal spécifié dans un format autonome. Un sous-répertoire portant le nom des paramètres régionaux est créé et toutes les informations spécifiques aux paramètres régionaux sont enregistrées dans ce sous-répertoire. Une fois que le répertoire et le fichier journal ont été créés en exécutant wevtutil al, les événements du fichier peuvent être lus, que l’éditeur soit installé ou non. |
| {cl | clear-log} <Logname> [/bu :<Backup>] | Efface les événements du journal des événements spécifié. L’option /bu peut être utilisée pour sauvegarder les événements effacés. |
Options
| Option | Description |
|---|---|
| /f :<Format> | Spécifie que la sortie doit être au format XML ou texte. Si <le format> est XML, la sortie s’affiche au format XML. Si <le format> est Texte, la sortie s’affiche sans balises XML. La valeur par défaut est Text. |
| /e :<Enabled> | Active ou désactive un journal. <Activé> peut être true ou false. |
| /i :<Isolation> | Définit le mode d’isolation du journal. <L’isolation> peut être système, application ou personnalisée. Le mode d’isolation d’un journal détermine si un journal partage une session avec d’autres journaux d’activité dans la même classe d’isolation. Si vous spécifiez l’isolation du système, le journal cible partage au moins les autorisations d’écriture avec le journal système. Si vous spécifiez l’isolation de l’application, le journal cible partage au moins des autorisations d’écriture avec le journal d’application. Si vous spécifiez une isolation personnalisée, vous devez également fournir un descripteur de sécurité à l’aide de l’option /ca . |
| /lfn :<Logpath> | Définit le nom du fichier journal. <Logpath> est un chemin d’accès complet au fichier où le service Journal des événements stocke les événements pour ce journal. |
| /rt :<Retention> | Définit le mode de rétention du journal. <La rétention> peut être true ou false. Le mode de rétention du journal détermine le comportement du service Journal des événements lorsqu’un journal atteint sa taille maximale. Si un journal des événements atteint sa taille maximale et que le mode de rétention du journal est vrai, les événements existants sont conservés et les événements entrants sont ignorés. Si le mode de rétention du journal est false, les événements entrants remplacent les événements les plus anciens dans le journal. |
| /ab :<Auto> | Spécifie la stratégie de sauvegarde automatique du journal. <L’auto> peut être true ou false. Si cette valeur est true, le journal est sauvegardé automatiquement lorsqu’il atteint la taille maximale. Si cette valeur est true, la rétention (spécifiée avec l’option /rt ) doit également être définie sur true. |
| /ms :<MaxSize> | Définit la taille maximale du journal en octets. La taille minimale du journal est 1048576 octets (1024 Ko) et les fichiers journaux sont toujours des multiples de 64 Ko. La valeur que vous entrez est donc arrondie en conséquence. |
| /l :<Level> | Définit le filtre de niveau du journal. <Le niveau> peut être n’importe quelle valeur de niveau valide. Cette option s’applique uniquement aux journaux avec une session dédiée. Vous pouvez supprimer un filtre de niveau en définissant <Level> sur 0. |
| /k :<Keywords> | Spécifie le filtre de mots clés du journal. <Les mots clés> peuvent être n’importe quel masque de mot clé 64 bits valide. Cette option s’applique uniquement aux journaux avec une session dédiée. |
| /ca :<Channel> | Définit l’autorisation d’accès pour un journal des événements. <Le canal> est un descripteur de sécurité qui utilise le langage SDDL (Security Descriptor Definition Language). Pour plus d’informations sur le format SDDL, consultez le sitehttps://msdn.microsoft.com web Microsoft Developers Network (MSDN). |
| /c :<Config> | Spécifie le chemin d’accès à un fichier de configuration. Cette option entraîne la lecture des propriétés du journal à partir du fichier de configuration défini dans <Config>. Si vous utilisez cette option, vous ne devez pas spécifier de <paramètre Logname> . Le nom du journal est lu à partir du fichier de configuration. |
| /ge :<Metadata> | Obtient des informations de métadonnées pour les événements pouvant être déclenchés par cet éditeur. <Les métadonnées> peuvent être vraies ou false. |
| /gm :<Message> | Affiche le message réel au lieu de l’ID de message numérique. <Le message> peut être vrai ou faux. |
| /lf :<Logfile> | Spécifie que les événements doivent être lus à partir d’un journal ou d’un fichier journal. <Le fichier> journal peut être vrai ou faux. Si la valeur est true, le paramètre de la commande est le chemin d’accès à un fichier journal. |
| /sq :<Structquery> | Spécifie que les événements doivent être obtenus avec une requête structurée. <Structquery> peut être vrai ou faux. Si la valeur est true, <Path> est le chemin d’accès à un fichier qui contient une requête structurée. |
| /q :<Query> | Définit la requête XPath pour filtrer les événements lus ou exportés. Si cette option n’est pas spécifiée, tous les événements sont retournés ou exportés. Cette option n’est pas disponible lorsque /sq a la valeur true. |
| /bm :<Bookmark> | Spécifie le chemin d’accès à un fichier qui contient un signet d’une requête précédente. |
| /sbm :<Savebm> | Spécifie le chemin d’accès à un fichier utilisé pour enregistrer un signet de cette requête. L’extension de nom de fichier doit être .xml. |
| /rd :<Direction> | Spécifie la direction dans laquelle les événements sont lus. <La direction> peut être vraie ou fausse. Si la valeur est true, les événements les plus récents sont retournés en premier. |
| /l :<Paramètres régionaux> | Définit une chaîne de paramètres régionaux utilisée pour imprimer le texte de l’événement dans des paramètres régionaux spécifiques. Disponible uniquement lors de l’impression d’événements au format texte à l’aide de l’option /f . |
| /c :<Count> | Définit le nombre maximal d’événements à lire. |
| /e :<Element> | Inclut un élément racine lors de l’affichage d’événements dans XML. <L’élément> est la chaîne souhaitée dans l’élément racine. Par exemple, /e :root génère un code XML contenant la paire <d’éléments racine racine></racine>. |
| /ow :<Overwrite> | Spécifie que le fichier d’exportation doit être remplacé. <Le remplacement> peut être vrai ou faux. Si la valeur est true et que le fichier d’exportation spécifié dans <Exportfile> existe déjà, il est remplacé sans confirmation. |
| /bu :<Backup> | Spécifie le chemin d’accès à un fichier dans lequel les événements effacés seront stockés. Incluez l’extension .evtx dans le nom du fichier de sauvegarde. |
| /r :<Remote> | Exécute la commande sur un ordinateur distant. <Remote> est le nom de l’ordinateur distant. Les paramètres im et um ne prennent pas en charge le fonctionnement à distance. |
| /u :<Username> | Spécifie un autre utilisateur pour se connecter à un ordinateur distant. <Le nom d’utilisateur> est un nom d’utilisateur dans le domaine de formulaire\utilisateur ou utilisateur. Cette option n’est applicable que lorsque l’option /r est spécifiée. |
| /p :<Password> | Spécifie le mot de passe de l’utilisateur. Si l’option /u est utilisée et que cette option n’est pas spécifiée ou <que le mot de passe> est *, l’utilisateur sera invité à entrer un mot de passe. Cette option n’est applicable que lorsque l’option /u est spécifiée. |
| /a :<Auth> | Définit le type d’authentification pour la connexion à un ordinateur distant. <L’authentification> peut être par défaut, Négocier, Kerberos ou NTLM. La valeur par défaut est Negotiate. |
| /uni :<Unicode> | Affiche la sortie en Unicode. <Unicode> peut être vrai ou faux. Si <Unicode> a la valeur True, la sortie est en Unicode. |
Remarks
Utilisation d’un fichier de configuration avec le paramètre sl
Le fichier de configuration est un fichier XML au même format que la sortie de wevtutil gl <Logname> /f :xml. Pour afficher le format d’un fichier de configuration qui active la rétention, active la restauration automatique et définit la taille de journal maximale dans le journal des applications :
<?xml version=1.0 encoding=UTF-8?> <channel name=Application isolation=Application xmlns=https://schemas.microsoft.com/win/2004/08/events> <logging> <retention>true</retention> <autoBackup>true</autoBackup> <maxSize>9000000</maxSize> </logging> <publishing> </publishing> </channel>
Examples
Répertoriez les noms de tous les journaux :
wevtutil el
Affichez des informations de configuration sur le journal système sur l’ordinateur local au format XML :
wevtutil gl System /f:xml
Utilisez un fichier de configuration pour définir les attributs du journal des événements (voir Remarques pour obtenir un exemple de fichier de configuration) :
wevtutil sl /c:config.xml
Affichez des informations sur l’éditeur d’événements Microsoft-Windows-Eventlog, y compris les métadonnées sur les événements que l’éditeur peut déclencher :
wevtutil gp Microsoft-Windows-Eventlog /ge:true
Installez les éditeurs et les journaux à partir du fichier manifeste myManifest.xml :
wevtutil im myManifest.xml
Désinstallez les éditeurs et les journaux à partir du fichier manifeste myManifest.xml :
wevtutil um myManifest.xml
Affichez les trois événements les plus récents du journal d’application au format textuel :
wevtutil qe Application /c:3 /rd:true /f:text
Affichez l’état du journal des applications :
wevtutil gli Application
Exporter des événements du journal système vers C :\backup\system0506.evtx :
wevtutil epl System C:\backup\system0506.evtx
Effacez tous les événements du journal des applications après les avoir enregistrés dans C :\admin\backups\a10306.evtx :
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
Archivez le fichier journal spécifié (.evtx) dans un format autonome. Un sous-répertoire (LocaleMetaData) est créé et toutes les informations spécifiques aux paramètres régionaux sont enregistrées dans ce sous-répertoire :
wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us