Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Umożliwia pobieranie informacji o dziennikach zdarzeń i wydawcach. To polecenie służy również do instalowania i odinstalowywania manifestów zdarzeń, uruchamiania zapytań oraz eksportowania, archiwizowania i czyszczenia dzienników.
Syntax
wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]]
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>]
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]
Parameters
| Parameter | Description |
|---|---|
| {el | enum-logs} | Wyświetla nazwy wszystkich dzienników. |
| {gl | get-log} <Nazwa dziennika> [/f:<Format>] | Wyświetla informacje o konfiguracji dla określonego dziennika, w tym informacje o tym, czy dziennik jest włączony, czy nie, bieżący maksymalny limit rozmiaru dziennika oraz ścieżkę do pliku, w którym jest przechowywany dziennik. |
| {sl | set-log} <Logname> [/e:Enabled<] [/i:><Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:MaxSize<] [/l:><Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>] | Modyfikuje konfigurację określonego dziennika. |
| {ep | wyliczenie-wydawcy} | Wyświetla wydawców zdarzeń na komputerze lokalnym. |
| {gp | get-publisher} <> Nazwa wydawcy [/ge:Metadata<] [/gm:><Message>] [/f:<Format>]] | Wyświetla informacje o konfiguracji określonego wydawcy zdarzeń. |
| {im | manifest-instalacji} <Manifest> [/{rf | resourceFilePath}:wartość] [/{mf | messageFilePath}:wartość] [/{pf | parameterFilePath}:wartość] |
Instaluje wydawców zdarzeń i dzienników z manifestu. Aby uzyskać więcej informacji na temat manifestów zdarzeń i korzystania z tego parametru, zobacz zestaw SDK dziennika zdarzeń systemu Windows w witrynie sieci Web Microsoft Developers Network (https://msdn.microsoft.comMSDN). Wartość jest pełną ścieżką do wspomnianego pliku. |
| {um | manifest-odinstalowania} <Manifest> | Odinstalowuje wszystkich wydawców i dzienniki z manifestu. Aby uzyskać więcej informacji na temat manifestów zdarzeń i korzystania z tego parametru, zobacz zestaw SDK dziennika zdarzeń systemu Windows w witrynie sieci Web Microsoft Developers Network (https://msdn.microsoft.comMSDN). |
| {qe | query-events} <Ścieżka> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:Direction<] [/f:><Format>] [/l<:Locale>] [/c:<Count>] [/e:<Element>] | Odczytuje zdarzenia z dziennika zdarzeń, z pliku dziennika lub przy użyciu zapytania strukturalnego. Domyślnie należy podać nazwę dziennika ścieżki<>. Jeśli jednak używasz opcji /lf , <ścieżka> musi być ścieżką do pliku dziennika. W przypadku użycia parametru </sq parametr Path> musi być ścieżką do pliku zawierającego zapytanie strukturalne. |
| {gli | get-loginfo} <Nazwa dziennika> [/lf:<Plik>_dziennika] | Wyświetla informacje o stanie dziennika zdarzeń lub pliku dziennika. Jeśli używana jest opcja /lf , <nazwa> dziennika jest ścieżką do pliku dziennika. Możesz uruchomić wevtutil el , aby uzyskać listę nazw dzienników. |
| {epl | export-log} <Plik eksportu ścieżki [/lf:>Logfile<>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]<> | Eksportuje zdarzenia z dziennika zdarzeń, z pliku dziennika lub przy użyciu zapytania strukturalnego do określonego pliku. Domyślnie należy podać nazwę dziennika ścieżki<>. Jeśli jednak używasz opcji /lf , <ścieżka> musi być ścieżką do pliku dziennika. W przypadku użycia opcji </sq pole Path> musi być ścieżką do pliku zawierającego zapytanie strukturalne. <Exportfile> to ścieżka do pliku, w którym będą przechowywane wyeksportowane zdarzenia. |
| {al | archive-log} <Logpath> [/l:<Ustawienia regionalne>] | Archiwizuje określony plik dziennika w formacie samodzielnym. Zostanie utworzony podkatalog o nazwie ustawień regionalnych, a wszystkie informacje specyficzne dla ustawień regionalnych zostaną zapisane w tym podkatalogu. Po utworzeniu katalogu i pliku dziennika przez uruchomienie polecenia wevtutil al można odczytać zdarzenia w pliku, niezależnie od tego, czy wydawca jest zainstalowany, czy nie. |
| {cl | clear-log} <Nazwa dziennika> [/bu:<Kopia zapasowa>] | Czyści zdarzenia z określonego dziennika zdarzeń. Opcja /bu może być użyta do wykonania kopii zapasowej wyczyszczonych zdarzeń. |
Opcje
| Option | Description |
|---|---|
| /f:<Format> | Określa, że dane wyjściowe powinny mieć format XML lub tekst. Jeśli <format> to XML, dane wyjściowe są wyświetlane w formacie XML. Jeśli <format> to Tekst, dane wyjściowe są wyświetlane bez tagów XML. Wartość domyślna to Text. |
| /e:<Włączone> | Włącza lub wyłącza dziennik. <Włączone> może mieć wartość true lub false. |
| /i:<Izolacja> | Ustawia tryb izolacji dziennika. <Izolacja> może być systemowa, aplikacja lub niestandardowa. Tryb izolacji dziennika określa, czy dziennik udostępnia sesję innym dziennikom w tej samej klasie izolacji. W przypadku określenia izolacji systemu dziennik docelowy będzie współużytkować co najmniej uprawnienia do zapisu w dzienniku systemu. Jeśli określisz izolację aplikacji, dziennik docelowy będzie współużytkować co najmniej uprawnienia do zapisu w dzienniku aplikacji. Jeśli określisz izolację niestandardową, musisz również podać deskryptor zabezpieczeń przy użyciu opcji /ca . |
| /lfn:<ścieżka loga> | Definiuje nazwę pliku dziennika. <Logpath> to pełna ścieżka do pliku, w którym usługa dziennika zdarzeń przechowuje zdarzenia dla tego dziennika. |
| /rt:<Przechowywanie> | Ustawia tryb przechowywania dziennika. <Przechowywanie> może mieć wartość true lub false. Tryb przechowywania dziennika określa zachowanie usługi dziennika zdarzeń, gdy dziennik osiągnie maksymalny rozmiar. Jeśli dziennik zdarzeń osiągnie maksymalny rozmiar, a tryb przechowywania dziennika ma wartość true, istniejące zdarzenia są zachowywane, a zdarzenia przychodzące są odrzucane. Jeśli tryb przechowywania dziennika ma wartość false, zdarzenia przychodzące zastępują najstarsze zdarzenia w dzienniku. |
| /ab:<Automatyczny> | Określa zasady automatycznego tworzenia kopii zapasowej dziennika. <Auto> może mieć wartość true lub false. Jeśli ta wartość ma wartość true, kopia zapasowa dziennika zostanie utworzona automatycznie po osiągnięciu maksymalnego rozmiaru. Jeśli ta wartość ma wartość true, przechowywanie (określone za pomocą opcji /rt ) musi być również ustawione na wartość true. |
| /ms:<MaxSize> | Ustawia maksymalny rozmiar bajtów logowania. Minimalny rozmiar dziennika to 1048576 bajtów (1024 KB), a pliki dziennika są zawsze wielokrotnościami 64 KB, więc wprowadzona wartość zostanie odpowiednio zaokrąglona. |
| /l:<Poziom> | Definiuje filtr poziomu dziennika. <Poziom> może być dowolną prawidłową wartością poziomu. Ta opcja ma zastosowanie tylko do dzienników z dedykowaną sesją. Filtr poziomu można usunąć, ustawiając wartość <Poziom> na 0. |
| /k:<Słowa kluczowe> | Określa filtr słów kluczowych dziennika. <Słowa kluczowe> mogą być dowolną prawidłową maską słowa kluczowego 64-bitowego. Ta opcja ma zastosowanie tylko do dzienników z dedykowaną sesją. |
| /ca:<Kanał> | Ustawia uprawnienie dostępu dla dziennika zdarzeń. <Channel> to deskryptor zabezpieczeń, który używa języka SDDL (Security Descriptor Definition Language). Aby uzyskać więcej informacji na temat formatu SDDL, zobacz witrynę sieci Web Microsoft Developers Network (https://msdn.microsoft.comMSDN). |
| /c:<konfiguracja> | Określa ścieżkę do pliku konfiguracji. Ta opcja spowoduje, że właściwości dziennika będą odczytywane z pliku konfiguracji zdefiniowanego w <>konfiguracji. Jeśli używasz tej opcji, nie można określić parametru <Logname> . Nazwa dziennika będzie odczytywana z pliku konfiguracji. |
| /ge:<Metadane> | Pobiera informacje o metadanych dla zdarzeń, które mogą być zgłaszane przez tego wydawcę. <Metadane> mogą mieć wartość true lub false. |
| /gm:<Wiadomość> | Wyświetla rzeczywisty komunikat zamiast numerycznego identyfikatora komunikatu. <Komunikat> może mieć wartość true lub false. |
| /lf:<Plik dziennika> | Określa, że zdarzenia powinny być odczytywane z dziennika lub z pliku dziennika. < > Plik dziennika może mieć wartość true lub false. Jeśli wartość true, parametr polecenia to ścieżka do pliku dziennika. |
| /sq:<Structquery> | Określa, że zdarzenia powinny być uzyskiwane za pomocą zapytania strukturalnego. <Zapytanie struktury> może mieć wartość true lub false. Jeśli wartość true, <ścieżka> to ścieżka do pliku zawierającego zapytanie ustrukturyzowane. |
| /q:<Zapytanie> | Definiuje zapytanie XPath do filtrowania zdarzeń, które są odczytywane lub eksportowane. Jeśli ta opcja nie zostanie określona, wszystkie zdarzenia zostaną zwrócone lub wyeksportowane. Ta opcja nie jest dostępna, gdy parametr /sq ma wartość true. |
| /bm:<Zakładka> | Określa ścieżkę do pliku zawierającego zakładkę z poprzedniego zapytania. |
| /sbm:<Zapiszbm> | Określa ścieżkę do pliku, który jest używany do zapisania zakładki tego zapytania. Rozszerzenie nazwy pliku powinno być .xml. |
| /rd:<Kierunek> | Określa kierunek odczytywania zdarzeń. <Kierunek> może mieć wartość true lub false. Jeśli wartość true, najnowsze zdarzenia są zwracane jako pierwsze. |
| /l:<Ustawienia regionalne> | Definiuje ciąg ustawień regionalnych używany do drukowania tekstu zdarzenia w określonych ustawieniach regionalnych. Opcja dostępna tylko w przypadku drukowania zdarzeń w formacie tekstowym przy użyciu opcji /f . |
| /c:<Liczba> | Ustawia maksymalną liczbę zdarzeń do odczytu. |
| /e:<, element> | Zawiera element główny podczas wyświetlania zdarzeń w formacie XML. <Element> to ciąg, który ma być w elemecie głównym. Na przykład /e:root spowoduje utworzenie kodu XML zawierającego parę <elementów głównych root></root>. |
| /ow:<Zastąp> | Określa, że plik eksportu powinien zostać zastąpiony. <Zastępowanie> może mieć wartość true lub false. Jeśli wartość true, a plik eksportu określony w <pliku Exportfile> już istnieje, zostanie zastąpiony bez potwierdzenia. |
| /bu:<Kopia zapasowa> | Określa ścieżkę do pliku, w którym będą przechowywane wyczyszczone zdarzenia. Uwzględnij rozszerzenie evtx w nazwie pliku kopii zapasowej. |
| /r:<Zdalny> | Uruchamia polecenie na komputerze zdalnym. <Remote> to nazwa komputera zdalnego. Parametry im i um nie obsługują obsługi zdalnej. |
| /u:<Nazwa użytkownika> | Określa innego użytkownika do logowania się na komputerze zdalnym. <Nazwa użytkownika> to nazwa użytkownika w postaci domena\użytkownik lub użytkownik. Ta opcja ma zastosowanie tylko wtedy, gdy określono opcję /r . |
| /p:<Hasło> | Określa hasło użytkownika. Jeśli zostanie użyta opcja /u , a opcja ta nie zostanie określona lub <Hasło> ma wartość *, użytkownik zostanie poproszony o wprowadzenie hasła. Ta opcja ma zastosowanie tylko wtedy, gdy określono opcję /u . |
| /a:<Uwierzytelnianie> | Definiuje typ uwierzytelniania na potrzeby nawiązywania połączenia z komputerem zdalnym. <Uwierzytelnianie> może być domyślne, negocjowane, Kerberos lub NTLM. Wartość domyślna to Negotiate. |
| /uni:<Unicode> | Wyświetla dane wyjściowe w formacie Unicode. <Unicode> może mieć wartość true lub false. Jeśli <wartość Unicode> ma wartość true, dane wyjściowe są w formacie Unicode. |
Remarks
Używanie pliku konfiguracji z parametrem sl
Plik konfiguracji jest plikiem XML o tym samym formacie co dane wyjściowe polecenia wevtutil gl <Logname> /f:xml. Aby wyświetlić format pliku konfiguracji, który umożliwia przechowywanie, włącza automatyczne tworzenie kopii zapasowej i ustawia maksymalny rozmiar dziennika w dzienniku aplikacji:
<?xml version=1.0 encoding=UTF-8?> <channel name=Application isolation=Application xmlns=https://schemas.microsoft.com/win/2004/08/events> <logging> <retention>true</retention> <autoBackup>true</autoBackup> <maxSize>9000000</maxSize> </logging> <publishing> </publishing> </channel>
Examples
Wyświetl listę nazw wszystkich dzienników:
wevtutil el
Wyświetl informacje o konfiguracji dziennika systemu na komputerze lokalnym w formacie XML:
wevtutil gl System /f:xml
Użyj pliku konfiguracji, aby ustawić atrybuty dziennika zdarzeń (zobacz uwagi na przykład pliku konfiguracji):
wevtutil sl /c:config.xml
Wyświetl informacje o wydawcy zdarzeńWindows-Eventlog firmy Microsoft, w tym metadane dotyczące zdarzeń, które może zgłosić wydawca:
wevtutil gp Microsoft-Windows-Eventlog /ge:true
Zainstaluj wydawców i dzienniki z pliku manifestu myManifest.xml:
wevtutil im myManifest.xml
Odinstaluj wydawców i dzienniki z pliku manifestu myManifest.xml:
wevtutil um myManifest.xml
Wyświetl trzy najnowsze zdarzenia z dziennika aplikacji w formacie tekstowym:
wevtutil qe Application /c:3 /rd:true /f:text
Wyświetl stan dziennika aplikacji:
wevtutil gli Application
Eksportuj zdarzenia z dziennika systemu do folderu C:\backup\system0506.evtx:
wevtutil epl System C:\backup\system0506.evtx
Wyczyść wszystkie zdarzenia z dziennika aplikacji po zapisaniu ich w folderze C:\admin\backups\a10306.evtx:
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
Zarchiwizuj określony plik dziennika (.evtx) w samodzielnym formacie. Zostanie utworzony podkatalog (LocaleMetaData), a wszystkie informacje specyficzne dla ustawień regionalnych zostaną zapisane w tym podkatalogu:
wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us