本文將介紹利用wevtutil管理事件檢視器中的事件紀錄。
上一篇筆者提到如何清除工作排程器的歷程記錄,有熱心的網友(adalf)分享利用 Wevtutil 工具來以指令方式管理事件檢視器中的紀錄,這個工具相當強大,幾乎是所有從事件檢視器的 UI 操作的動作(查詢、匯出、封存等)都可以用 Wevtutil 來完成,對於要批次處理或以排程方式來管理事件檢視器紀錄的朋友而言相當便利。
Wevtutil 工具的語法及參數如下:
wevtutil [{el | enum-logs}] [{gl | get-log} <;Logname> [/f:<Format>]]
[{sl | set-log} <;Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<Size>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <;Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] [{im | install-manifest} <Manifest>]
[{um | uninstall-manifest} <;Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <;Logname> [/lf:<Logfile>]]
[{epl | export-log} <;Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <;Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]
以下筆者就幾個常用的指令做示範,詳細的用法再請各位參閱說明文件。
-
利用 el 參數列出目前可供查詢的事件名稱:
wevtutil el -
以工作排程器歷程記錄為例,可用 gli 參數查看紀錄摘要。
wevtutil gli Microsoft-Windows-TaskScheduler/Operational
下圖紅色框框處為工作排程器的歷程紀錄。
-
以工作排程器歷程記錄為例,可用 epl 參數匯出紀錄。建議匯出的副檔名以 evtx 命名,以利 double click 後可直接使用事件檢視器開啟。
wevtutil epl Microsoft-Windows-TaskScheduler/Operational d:\Tasklog.evtx
-
以工作排程器歷程記錄為例,可用 cl 參數清楚紀錄,並搭配 bu 參數在清除前先將紀錄做備份。
wevtutil cl Microsoft-Windows-TaskScheduler/Operational /bu:d:\Tasklog.evtx
【參考資料】