【Windows】系统日志不会查?一文教你用 `wevtutil` 命令

最新推荐文章于 2025-04-06 02:00:00 发布
最新推荐文章于 2025-04-06 02:00:00 发布
阅读量890 收藏 8
点赞数 3
分类专栏: Windows 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_39372311/article/details/143960142
版权

系统日志不会查?一文教你用 wevtutil 命令

在 Windows 系统中,系统日志记录了操作系统和应用程序的运行状态,是故障排查和安全监控的重要工具。通过 wevtutil 命令,你可以轻松查询、导出和管理系统日志,快速定位问题。本文将带你全面掌握 wevtutil 命令的使用方法。

一、什么是 wevtutil 命令?

wevtutil 是 Windows 系统自带的事件日志管理工具。它提供了从命令行操作日志的能力,包括以下功能:

  • 查看系统中的日志列表。
  • 查询和导出日志内容。
  • 清除日志文件。
  • 管理日志的订阅设置。
二、wevtutil 的基本语法
wevtutil [操作] [参数]

常用操作包括:

  • el:列出所有日志。
  • qe:查询日志事件。
  • epl:导出日志到文件。
  • cl:清除日志。
  • gl:显示日志属性。
三、常用操作详解
1. 列出所有日志
wevtutil el

示例输出:

Application
Security
System
Microsoft-Windows-Diagnostics-Performance/Operational
...

此命令会显示系统中所有可用的日志名称。

2. 查询日志内容

通过 qe 参数查询日志事件,可以筛选关键信息。
例如,查看最近的 10 条系统日志:

wevtutil qe System /c:10 /f:text

参数说明:

  • /c:10:限制输出事件数量为 10 条。
  • /f:text:以文本格式显示日志。

如果想筛选特定时间段或事件 ID,可以结合 XPath 查询。例如,查询 ID 为 100 的系统事件:

wevtutil qe System "/q:*[System[(EventID=100)]]" /f:text
3. 导出日志到文件

将指定日志导出为 .evtx 文件,方便备份或迁移:

wevtutil epl Application C:\Logs\ApplicationLog.evtx

此命令将应用程序日志导出到 C:\Logs 目录。

如需将日志导出为 XML 格式:

wevtutil qe Application /f:xml > C:\Logs\ApplicationLog.xml
4. 清除日志

在排查完问题后,可以清空指定日志:

wevtutil cl System

执行此命令后,系统日志将被清除。

5. 查看日志属性

获取日志的详细信息,包括最大大小和保留策略:

wevtutil gl System

示例输出:

name: System
enabled: true
type: Administrative
owningPublisher: Microsoft-Windows-Eventlog
isolation: Custom
channelAccess: O:BAG:SYD:(A;;0x3;;;SY)
logging: true
retention: false
autoBackup: false
maxSize: 20971520
  • maxSize:日志文件的最大大小(以字节为单位)。
  • retention:是否启用日志保留策略。
四、实际案例应用
案例 1:快速排查系统崩溃原因

在蓝屏或系统异常后,可以使用以下命令快速查看最近的系统错误日志:

wevtutil qe System "/q:*[System[(Level=2)]]" /f:text /c:5
  • Level=2:筛选错误级别的事件。
案例 2:备份重要的安全日志

为了审计目的,定期备份安全日志:

wevtutil epl Security C:\Logs\SecurityLogBackup.evtx
五、常见问题与解决方法

  1. 权限不足

    • 某些日志(如安全日志)需要管理员权限才能访问。请确保以管理员身份运行命令提示符。

  2. 导出日志失败

    • 确保目标目录存在,并且具有写入权限。

  3. 查询结果为空

    • 检查 XPath 查询语法是否正确,或确保指定的事件范围内有记录。
六、小结

通过 wevtutil 命令,系统日志的管理变得高效而便捷。无论是排查问题还是安全审计,这个工具都能提供强大的支持。学会灵活运用 wevtutil,让你在系统维护和故障诊断中更加得心应手!

Windows入侵痕迹清理
小晓晓晓林的博客
02-20 7981
Windows入侵痕迹清理 环境:Win10、Win7、Winxp虚拟机等 Windows日志 包括五个类别:应用程序、安全、Setup、系统、转发事件 查看方式 1、此电脑-右键管理-Windows日志 2、powershell(管理员权限) 查看所有日志:Get-winEvent 查看应用程序类别下的日志:Get-WinEvent -FilterHashtabl...
应急响应实战笔记——日志分析篇:① Windows 日志分析
君逍遥o
03-27 3899
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
Windows日志】记录系统事件的日志
热门推荐
第一天
10-14 4万+
应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。默认位置:C:\Windows\System32\Winevt\Logs\Application.evtx。
Windows事件日志清除
最新发布
独码乐,不如众码乐,乐享其中
04-06 1329
在有些场景下,需要清除系统日志,手工想快速删除它们是很耗时的,有没有更快捷地方法处理呢?
DOS 命令 | 每日一学,wevtutil 快速检索 Windows 系统事件日志元数据
WeiyiGeek 唯一极客IT知识分享
04-11 1535
wevtutil 命令工具包含在 %windir%\x5cSystem32 目录中,主要用于在计算机上注册提供程序的命令行实用工具, 还可以使用它来获取有关提供程序、其事件及其记录事件的通道的元数据信息,以及从通道或日志文件查询事件。wevtutil 命令工具包含在 %windir%\x5cSystem32 目录中,主要用于在计算机上注册提供程序的命令行实用工具, 还可以使用它来获取有关提供程序、其事件及其记录事件的通道的元数据信息,以及从通道或日志文件查询事件。路径下,但不支持使用文本编辑器打开。
日志分析-windows系统日志分析
Alsn86的博客
06-29 514
Windows7和Windowserver2008R2的主机日志保存在C:\Windows\System32\winevt\Logs文件夹下,Security.evtx即为Windows安全节点下安全日志,双击即可使用事件查看器打开并进行查看。使用LogParser分析Windows日志。使用事件查看器分析Windows系统日志。清除日志、注销并重新登陆,查看日志情况。cmd命令 eventvwr。将安全日志导出为csv文件。
wevtutil工具查看系统日志event log
Katherine1029的博客
01-26 1280
/{sq | structuredquery}:[true|false] # 如果为 true,则 <PATH> 是包含结构化查询的文件的完整路径。* /{sbm | savebookmark}:VALUE #VALUE 是用于保存此查询的书签的文件的完整路径。* /{lf | logfile}:[true|false] #如果为 true,则 <PATH> 是日志文件的完整路径。* /{bm | bookmark}:VALUE # VALUE 是包含上一查询的书签的文件的完整路径。
wevtutil简介与使用
VinWqx的博客
02-21 2727
wevtutil是微软Windows eventlog有关的工具,可以用于检索有关事件日志、导出、清除、归档事件日志等。
【组策略故障诊断手册】:一文搞定系统问题快速修复
组策略是管理和配置Windows操作系统和应用程序设置的强大工具,对于维护组织的计算机系统的稳定性和安全性至关重要。本文系统地介绍了组策略的基础知识、配置、管理、故障诊断技巧以及解决方案和案例分析。内容涵盖...
【ADIR()函数疑难杂症解决全攻略】:一文解决所有常见问题,提升批处理效率
通过具体实践案例,分析了ADIR()函数在不同场景下的使用技巧,并提供了错误代码分析、性能优化以及与其他批处理命令协同工作的解决技巧。文中还展望了ADIR()函数的技术发展趋势,探讨了替代方案,并提出了综合提升...
Windows日志管理:如何查看、分析和维护系统日志
leleshengh520的博客
11-01 1万+
设置过滤条件,如事件级别(错误、警告、信息等)、事件源、关键字等。在事件查看器中,右击某个日志类别(如“系统”),选择“清除日志”。可以通过筛选条件(如日期、事件级别、事件源等)来查找特定的事件。双击某个事件条目,可以查看详细信息,包括事件ID、描述、时间等。在事件查看器中,右击某个日志类别(如“系统”),选择“另存为”。在事件查看器中,右击某个日志类别(如“系统”),选择“属性”。在事件查看器的左侧窗格中,展开“Windows 日志”节点。在事件查看器的右侧窗格中,点击“查找”或“查找下一个”。
NT6系统命令行下导出用户登录日志
bezal的专栏
03-31 2333
以文本形式输出用户登录日志 (100条数目作为数量限制) wevtutil.exe qe security "/q:*[System [(EventID=4624)]]" /f:text /rd:true /c:100 > c:\sys.txt 导出用户登录日志 wevtutil.exe epl security "/q:*[System [(EventID=4624)]]" c
Tail for windows日志读取跟踪工具
08-28
windows窗口日志读取和跟踪工具,模仿Linux中的Tail,可以实时获取并显示日志的最新内容。源码使用VS 2015编译。
Kali渗透测试:Windows事件管理工具wevtutil的使用方法
Liu_Bruce的博客
05-19 3646
Kali渗透测试:Windows事件管理工具wevtutil使用方法 渗透测试者发现可以利用事件日志(event logging)的方式来启动某一个程序。Windows系统对事件操作的工具就是Windows系统自带的wevtutil.exe(windows event utility),使您能够检索有关事件日志和发布者的信息。您还可以使用此命令安装和卸载事件清单、运行查询以及导出、存档和清除日志。 1. 语法(Syntax) wevtutil [{el | enum-logs}] [{gl | get-l
Windows事件日志分析工具介绍,零基础入门到精通,收藏这一篇就够了
Python_0011的博客
12-17 1818
6、连接其他计算机事件查看器不仅可以显示本地计算机的日志,还可以配置为收集来自网络中其他计算机的日志。7、日志事件导出右键点击你想要导出的日志或在右侧菜单栏,选择“将所有事件另存为”,然后选择保存路径和文件格式,即可完成导出。03命令行工具 (wevtutil)1、打开命令行窗口按下Win + R键,打开“运行”对话框。输入cmd,点击确定或回车。2、基本命令获取wevtutil的帮助信息wevtutil /?3、使用案例参考041、打开PowerShell按下Win + R键,打开“运行”对话框。
内网渗透基石篇—信息收集下
05-06 8929
前言: 目标资产信息搜集的程度,决定渗透过程的复杂程度。 目标主机信息搜集的深度,决定后渗透权限持续把控。 渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证。 一、收集域内基础信息 首先得做准备工作,才可以查询。 1.查询域(需要启动Computer Browser服务) win7 在计算机管理--服务--找到CB服务,然后开启; 2.net view /domain #查找域 3.查询域内所有计算机 net view /domain :HACKE 4.查.
windows日志分析-Log Parser等工具使用
李安北的博客
05-24 1万+
Windows 主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。 应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx 包含由应用程序或系统程序记录的事件,主要记录程序运行程序方面的事件。 安全日志:%SystemRoot%\Syste
Python 获取WindowsEvtx日志文件并解析
Black794的博客
04-21 4453
Python 获取WindowsEvtx日志文件并解析 demo如下(随便写的): import html from xml.dom import minidom import Evtx.Evtx as evtx path = r"C:\Windows\Sysnative\winevt\Logs\Security.evtx" with evtx.Evtx(path) as log: for record in log.records(): timestamp = record.t
Windows痕迹清除(wevtutil.exe、meterpreter)
robacco的博客
09-23 1932
Windows痕迹清除: 1、事件查看器:在命令运行窗口输入eventvwr.msc命令打开Windows事件查看器,或在控制面板 管理工具中打开事件查看器 Windows事件管理工具为wevtutil.exe(https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/wevtutil),攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爱技术的小伙子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值