Wevtutil命令用於通過命令行管理Windows事件日誌。 2。要列出所有日誌，請使用wevtutil el;要獲取有關(guān)特定日誌諸如係統(tǒng)的詳細(xì)信息，請使用Wevtutil GL系統(tǒng)。 3.與Wevtutil QE的查詢事件，例如Wevtutil Qe System /count：10 /f：最後10個以文本格式的事件的文本，並使用wevtutil epl epl System C導(dǎo)出日誌C：\ temp \ systemlog.evtx。 4。使用Wevtutil CL應(yīng)用程序清除日誌，但首先使用Wevtutil EPL應(yīng)用程序C向後進(jìn)行備份C：\ Backup \ Application_backup.evtx以保留數(shù)據(jù)。 5。對於遠(yuǎn)程管理，使用 /r：通過 /u和 /p具有憑據(jù)的remotepc，確保啟用WINRM或RPC，並允許訪問防火牆規(guī)則。 6。始終以日誌修改為管理員，使用 /f：renderedxml可讀XML輸出，使用Findstr過濾輸出，並在事件查看器中打開導(dǎo)出的.EVTX文件進(jìn)行分析，使Wevtutil成為自動化，審計和故障刪除Windows Event Logs的強大工具。

Windows中的wevtutil命令是用於管理事件日誌的強大命令行工具 - 適用於系統(tǒng)管理員，IT專業(yè)人士或任何對系統(tǒng)或應(yīng)用程序事件進(jìn)行故障排除。它使您可以查詢，導(dǎo)出，清除，備份和配置事件日誌，而無需事件查看器GUI。這是有效使用它的方法。

1。了解Wevtutil基礎(chǔ)知識

wevtutil代表Windows事件日誌實用程序。它可以與內(nèi)置日誌（例如Application ， System ， Security ）和自定義日誌一起使用。您可以從命令提示符或PowerShell進(jìn)行適當(dāng)?shù)臋?quán)限運行（某些操作需要管理員權(quán)限）。

一般語法：

 wevtutil [action] [logName | query] [options]

共同的行動包括：

• el - 列舉日誌
• gl - 獲取日誌信息
• qe - 查詢事件
• epl - 導(dǎo)出日誌
• cl - 清除日誌
• al - 存檔日誌

2。列表和檢查事件日誌

要查看系統(tǒng)上的所有可用日誌：

 wevtutil el

這輸出了一個列表，例如：

應(yīng)用
系統(tǒng)
安全
設(shè)定
Windows PowerShell

獲取有關(guān)特定日誌（例如係統(tǒng)）的詳細(xì)信息：

 Wevtutil GL系統(tǒng)

由此可見：

• 日誌大小
• 最大尺寸
• 保留設(shè)置
• 啟用狀態(tài)
• 日誌文件的路徑

可用於檢查日誌是否已滿或是否正確配置了保留率。

3。查詢和導(dǎo)出事件日誌

要從日誌中檢索事件，請使用qe 。例如，從系統(tǒng)日誌中獲取最後10個事件：

 wevtutil QE系統(tǒng) /計數(shù)：10 /f：文本

通用格式選項：

• /f:text - 可讀文本
• /f:xml - RAW XML（用於腳本）
• /f:renderedxml - 在xml中包含渲染的消息文本

要將整個系統(tǒng)日誌導(dǎo)出到.evtx文件：

 wevtutil epl系統(tǒng)C：\ temp \ systemlog.evtx

??確保存在目標(biāo)目錄（例如C:\temp ）。

您還可以使用XPath查詢過濾事件。例如，從系統(tǒng)獲取錯誤級事件：

 wevtutil Qe System /Q：“*[System /Level = 2]” /f：text> c：\ temp \ errors.txt

• 級別1 =關(guān)鍵
• 級別2 =錯誤
• 級別3 =警告
• 級別4 =信息

4。清除或備份日誌

要清除日誌（例如，應(yīng)用程序日誌）：

 WEVTUTIL CL應(yīng)用

??這將永久刪除日誌中的所有事件。謹(jǐn)慎使用。

在清除之前存檔並保存日誌：

 wevtutil epl應(yīng)用程序C：\ backup \ application_backup.evtx
WEVTUTIL CL應(yīng)用

這對於合規(guī)或調(diào)試很有用。

5。高級：管理遠(yuǎn)程日誌

如果您擁有Admin權(quán)利並啟用了WinRM或RPC，則可以在遠(yuǎn)程計算機上使用wevtutil 。

在遠(yuǎn)程計算機上查詢?nèi)照I：

 wevtutil el /r：remotepc /u：domain \ admin /p：密碼

或遠(yuǎn)程查詢事件：

 wevtutil QE系統(tǒng) /R：remotepc /u：admin /p：pass123 /f：文本

注意：遠(yuǎn)程訪問可以通過防火牆或組策略阻止。使用/r與適當(dāng)?shù)膽{據(jù)。

6。常見技巧和陷阱

• 在修改日誌時（尤其是安全日誌）時，請務(wù)必以管理員的身份運行命令提示。
• 使用/f:renderedxml如果您需要導(dǎo)出的XML中的消息文本 - regular /f:xml可能只包括事件ID。
• 與findstr結(jié)合到過濾文本輸出：

   Wevtutil QE系統(tǒng) /F：文本|查找“錯誤”

• 可以通過將其拖動到控制臺中，在事件查看器中打開導(dǎo)出.evtx文件。

---

基本上， wevtutil可以為您提供對Windows事件日誌的腳本腳本，精確的控制 - 無論您是審核，故障排除還是自動化日誌維護。它不是浮華的，但是一旦知道了一些關(guān)鍵命令，它就比單擊GUI更快，更靈活。

以上是如何使用wevtutil命令來管理Windows中的事件日誌的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！