Wevtutil - управління подіями в windows.
Відео: How To Clear The Event Viewer In Windows 7/8/10
утиліта wevtutil.exe, починаючи з Windows 7 є стандартним компонентом системи і призначена для отримання списку імен журналів, управлінням їх конфігурацією, отримання списку джерел подій, установки або видалення видавців і журналів подій з маніфесту, отримання відомостей про стан журналу, а також для очищення, архівування та експорту журналів системи.
Формат командного рядка:
wevtutil КОМАНДА [АРГУМЕНТ [АРГУМЕНТ] ...] [/ ПАРАМЕТР: ЗНАЧЕННЯ [/ ПАРАМЕТР: ЗНАЧЕННЯ] ...]
Ви можете вказувати імена команд і параметрів як в короткій (наприклад, "ep / uni"), так і в повній (наприклад, "enum-publishers / unicode") формі. Команди, параметри і їх значення вводяться без урахування регістру. Для позначення змінних використовуються прописні букви.
команди:
| el | enum-logs gl | get-log sl | set-log ep | enum-publishers gp | get-publisher im | install-manifest um | uninstall-manifest qe | query-events gli | get-log-info epl | export-log al | archive-log cl | clear-log | Отримання списку імен журналів. Отримання відомостей про конфігурацію журналу. Зміна конфігурації журналу. Отримання списку видавців подій. Отримання відомостей про конфігурацію видавця. Установка видавців і журналів подій з маніфесту. Видалення видавців і журналів подій з маніфесту. Запит подій з журналу або файлу журналу. Отримання відомостей про стан журналу. Експорт журналу. Архівування експортованого журналу. Очищення журналу. |
Загальні параметри:
/ R: ЗНАЧЕННЯ - Якщо цей параметр заданий, команда виконується на віддаленому комп`ютері. Як значення необхідно ввести ім`я або IP-адреса віддаленого комп`ютера. параметри / im і / um не підтримують віддалені операції.
/ U: ЗНАЧЕННЯ - Вибір іншого імені користувача для входу на віддалений комп`ютер. Як значення необхідно ввести ім`я користувача з указаніемдомена ( "домен користувач") або без нього. Використовується, тільки якщо заданий параметр / r.
/ Password: ЗНАЧЕННЯ - Пароль для вказаного користувача. Якщо значення не вказано або введено знак "*", користувачеві буде запропоновано ввести пароль. Використовується, тільки якщо заданий параметр / u.
/ A: [Default | Negotiate | Kerberos | NTLM] - Тип перевірки автентичності для підключення до віддаленого комп`ютера. За замовчуванням використовується значення "Negotiate".
/ Uni: [true | false] - Відображення вихідних даних в Юникоде. В разі обрання опції "true", вихідні дані виводяться в Юникоде.
Для отримання додаткових відомостей про конкретну команді введіть наступний текст:
wevtutil КОМАНДА /?
Приклади використання WENTUTIL
wevtutil get-log /? - відобразити підказку по використанню команди get-log (gl).
wevtutil el - відобразити список імен журналів. Ім`я або його частина, що дозволяє однозначно ідентифікувати журнал, повинні використовуватися в інших підкоманду WEVTUTIL.
wevtutil el gt; % TEMP% eventlogs.txt - то ж, що і в попередньому випадку, але з висновком результатів в текстовий файл каталогу тимчасових файлів. Для читання результатів можна відкрити його, наприклад, блокнотом:
notepad% TEMP% eventlogs.txt
Використання вставки фрагментів даних з текстового файлу спрощує роботу в командному рядку і зменшує ймовірність помилки.
wevtutil el / r: Comp0 - відобразити список імен журналів віддаленого комп`ютера Comp0. При підключенні до віддаленого комп`ютера використовувати обліковий запис поточного користувача.
wevtutil el /r:192.168.1.3 / u: user1 / p: paswd1
- відобразити список імен журналів віддаленого комп`ютера з IP-адресою 192.168.1.3. При підключенні до віддаленого комп`ютера використовувати ім`я користувача user1 і пароль paswd1
wevtutil gli System / lf: false - відобразити інформацію про журнал з ім`ям System без вказівки файлу журналу (lf: false)
Приклад відображається:
creationTime: 2017-02-10T07: 22: 58.552Z
lastAccessTime: 2017-02-10T07: 22: 58.552Z
lastWriteTime: 2017-03-07T08: 39: 30.870Z
fileSize: 1118208
attributes 2080
numberOfLogRecords: 1569
oldestRecordNumber: 1
wevtutil gl System - відобразити відомості про конфігурацію журналу System. Приклад відображається:
name: System
enabled: true
type: Admin
owningPublisher:
isolation: System
channelAccess: O: BAG: SYD: (A - 0xf0007 --- SY) (A - 0x7 --- BA) (A - 0x3 --- BO) (A - 0x5 --- SO) (A --0x1 --- IU) (A - 0x3 --- SU) (A - 0x1 --- S-1-5-3) (A - 0x2 --- S-1-5-33) (A - 0x1 --- S-1-5-32-573)
logging: logFileName:% SystemRoot% System32 Winevt Logs System.evtx
retention: false
autoBackup: false
maxSize: 20971520
publishing:
fileMax: 1
Виводяться відомості про конфігурацію журналу подій, включаючи його стан (включений або виключений), поточний максимальний розмір і шлях до файлу, де зберігається журнал.
wevtutil gl System / f: xml - то ж, що і в попередньому прикладі, але з відображенням результатів в XML-форматі.
wevtutil ep - відобразити список видавців (джерел записів про події).
wevtutil gp System - відобразити відомості про конфігурацію видавців журналу System. Приклад відображається:
name: System
guid: 00000000-0000-0000-0000-000000000000
helpLink:
message:
channels:
channel:
name: System
id: 8
flags: 1
message:
levels:
opcodes:
tasks:
task:
name: Пристрої
value: 1
eventGUID: 00000000-0000-0000-0000-000000000000
message: 1
task:
name: Диск
value: 2
eventGUID: 00000000-0000-0000-0000-000000000000
message: 2
task:
name: Принтери
wevtutil gp Microsoft-Windows-Eventlog / ge: true / gm: true - вивести відомості про видавця подій Microsoft-Windows-Eventlog, включаючи метадані подій, коториеетот видавець може викликати з відображенням в текстовому вигляді.
WEVTUtil install-manifest C: Manifest1.man - встановити видавців і журнали за даними з файлу маніфесту. Файл повинен мати формат, описаний в пакеті Windows Eventing SDK, доступному на веб-сайті MSDN
WEVTUtil uninstall-manifest C: Manifest1.man - видалити видавців і журнали, на основі вмісту файлів маніфесту.
wevtutil qe Application / c: 3 / rd: true / f: text - відобразити 3 останніх події журналу додатків в текстовому форматі.
WEVTUtil query-events System / count: 20 / rd: true / format: text / q: "Event [System [(EventID = 1)]]" -Відобразити 20 останніх подій з кодом Event ID рівним 1 з журналу системи в текстовому вигляді.
WEVTUtil export-log System C: backup sys-saved.evtx -зберегти вміст журналу подій системи в файл.
WEVTUtil.exe clear-log Application - очистити журнал додатків Windows.
wevtutil.exe cl Application /bu:C:backupall-event.evtx -Те ж, що і в попередньому прикладі, але перед очищенням журналу виконується його збереження в файл C: backup all-event.evtx
Поділися в соціальних мережах:
Схожі
Команда rmdir (rd) - видалити каталог файлової системи windows.- Hostname - відобразити ім`я комп`ютера в командному рядку windows.
- Sclist - відобразити відомості про системні службах windows 2000.
- Команда color - встановити колір символів і фону консолі windows
- Prompt - зміна запрошення командного рядка cmd windows.
- Команда quser - відобразити відомості про які увійшли в систему користувачів windows
- Ver - відображення інформації про версію windows.
- Команда set - робота зі змінними середовища windows
- Команда exit - завершити роботу командного процесора або поточного командного файлу.
- Cmd - запуск нової копії інтерпретатора команд windows.
- Команда md (mkdir) - створити каталог
- Gpupdate - виконання оновлення групових політик дляпользователя і комп`ютера.
- Команди date і time
- Path - відобразити або змінити шляху пошуку виконуваних файлів.
- Команда endlocal - скасування локальних змін змінних середовища для поточного командного файлу.
- Команда fc - порівняння файлів.
- Команда setlocal - зміна змінних середовища для поточного командного файлу.
- Команда find - пошук рядка символів в файлі
- Команда change і аналоги - chglogon, chgport, chgusr
- Команда bootcfg
- Команда openfiles - управління відкритими по мережі або локально файлами.