Утилита wevtutil.exe, начиная с Windows 7 является стандартным компонентом системы и предназначена для получение списка имен журналов, управлением их конфигурацией, получения списка источников событий, установки или удаления издателей и журналов событий из манифеста, получения сведений о состоянии журнала, а также для очистки, архивирования и экспорта журналов системы.

1. Описание команды WEVTUTIL.

1.1. Формат командной строки:

C:\ wevtutil КОМАНДА [АРГУМЕНТ [АРГУМЕНТ]...] [/ПАРАМЕТР:ЗНАЧЕНИЕ [/ПАРАМЕТР:ЗНАЧЕНИЕ]...]

Вы можете указывать имена команд и параметров как в краткой (например, «ep /uni»), так и в полной (например, «enum-publishers /unicode») форме. Команды, параметры и их значения вводятся без учета регистра. Для обозначения переменных используются прописные буквы.

1.2. Команды:

el | enum-logs
gl | get-log
sl | set-log
ep | enum-publishers
gp | get-publisher
im | install-manifest
um | uninstall-manifest
qe | query-events
gli | get-log-info
epl | export-log
al | archive-log
cl | clear-log
Получение списка имен журналов.
Получение сведений о конфигурации журнала.
Изменение конфигурации журнала.
Получение списка издателей событий.
Получение сведений о конфигурации издателя.
Установка издателей и журналов событий из манифеста.
Удаление издателей и журналов событий из манифеста.
Запрос событий из журнала или файла журнала.
Получение сведений о состоянии журнала.
Экспорт журнала.
Архивирование экспортированного журнала.
Очистка журнала.

1.3. Общие параметры:

  • /{r | remote}:ЗНАЧЕНИЕ — Если этот параметр задан, команда выполняется на удаленном компьютере. В качестве значения необходимо ввести имя или IP-адрес удаленного компьютера. Параметры /im и /um не поддерживают удаленные операции.
  • /{u | username}:ЗНАЧЕНИЕ — Выбор другого имени пользователя для входа на удаленный компьютер. В качестве значения необходимо ввести имя пользователя с указанием домена («домен\пользователь») или без него. Используется, только если задан параметр /r.
  • /{p | password}:ЗНАЧЕНИЕ — Пароль для указанного пользователя. Если значение не указано или введен знак «*», пользователю будет предложено ввести пароль. Используется, только если задан параметр /u.
  • /{a | authentication}:[Default|Negotiate|Kerberos|NTLM] — Тип проверки подлинности для подключения к удаленному компьютеру. По умолчанию используется значение «Negotiate».
  • /{uni | unicode}:[true|false] — Отображение выходных данных в Юникоде. Если выбрано значение «true», выходные данные выводятся в Юникоде.

Для получения дополнительных сведений о конкретной команде введите следующий текст:

C:\ wevtutil КОМАНДА /?

2. Примеры использования WENTUTIL.

2.1. Отобразить подсказку по использованию:

C:\ wevtutil /?

2.3. Отобразить подсказку по использованию команды get-log (gl):

C:\ wevtutil get-log /?

2.4. Отобразить список имен журналов:

C:\ wevtutil el

Имя или его часть, позволяющая однозначно идентифицировать журнал, должны использоваться в прочих подкомандах WEVTUTIL.

2.5. То же, что и в предыдущем случае, но с выводом результатов в текстовый файл каталога временных файлов:

C:\ wevtutil el > %TEMP%\eventlogs.txt

Для чтения результатов можно открыть его, например, блокнотом:

C:\ notepad %TEMP%\eventlogs.txt

Использование вставки фрагментов данных из текстового файла упрощает работу в командной строке и уменьшает вероятность ошибки.

2.6. Отобразить список имен журналов удаленного компьютера Comp0:

C:\ wevtutil el /r:Comp0

При подключении к удаленному компьютеру использовать учетную запись текущего пользователя.

2.7. Отобразить список имен журналов удаленного компьютера с IP-адресом 192.168.1.3:

C:\ wevtutil el /r:192.168.1.3 /u:user1 /p:paswd1

При подключении к удаленному компьютеру использовать имя пользователя user1 и пароль paswd1.

2.8. Отобразить информацию о журнале с именем System без указания файла журнала (lf:false):

C:\ wevtutil gli System /lf:false

Пример отображаемой информации:

creationTime: 2017-02-10T07:22:58.552Z
lastAccessTime: 2017-02-10T07:22:58.552Z
lastWriteTime: 2017-03-07T08:39:30.870Z
fileSize: 1118208
attributes: 2080
numberOfLogRecords: 1569
oldestRecordNumber: 1

2.9. Отобразить сведения о конфигурации журнала System:

C:\ wevtutil gl System

Пример отображаемой информации:

name: System
enabled: true
type: Admin
owningPublisher:
isolation: System
channelAccess:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x3;;;BO)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x3;;;SU)(A;;0x1;;;S-1-5-3)(A;;0x2;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)
logging: logFileName: %SystemRoot%\System32\Winevt\Logs\System.evtx
retention: false
autoBackup: false
maxSize: 20971520
publishing:
fileMax: 1

Выводятся сведения о конфигурации журнала событий, включая его состояние (включен или выключен), текущий максимальный размер и путь к файлу, где хранится журнал.

2.10. То же, что и в предыдущем примере, но с отображением результатов в XML-формате:

C:\ wevtutil gl System /f:xml

2.11. Отобразить список издателей (источников записей о событиях):

C:\ wevtutil ep

2.12. Отобразить сведения о конфигурации издателей журнала System:

C:\ wevtutil gp System

Пример отображаемой информации:

name: System
guid: 00000000-0000-0000-0000-000000000000
helpLink:
message:
channels:
channel:
name: System
id: 8
flags: 1
message:
levels:
opcodes:
tasks:
task:
name: Устройства
value: 1
eventGUID: 00000000-0000-0000-0000-000000000000
message: 1
task:
name: Диск
value: 2
eventGUID: 00000000-0000-0000-0000-000000000000
message: 2
task:
name: Принтеры

2.13. Вывести сведения об издателе событий Microsoft-Windows-Eventlog, включая метаданные событий, которые этот издатель может вызывать с отображением в текстовом виде:

C:\ wevtutil gp Microsoft-Windows-Eventlog /ge:true /gm:true

2.14. Установить издателей и журналы по данным из файла манифеста. 

C:\ WEVTUtil install-manifest C:\Manifest1.man

Файл должен иметь формат, описанный в пакете Windows Eventing SDK, доступном на веб-сайте MSDN.

2.15. Удалить издателей и журналы, по содержимому файла манифеста:

C:\ WEVTUtil uninstall-manifest C:\Manifest1.man

2.16. Отобразить 3 последних события журнала приложений в текстовом формате:

C:\ wevtutil qe Application /c:3 /rd:true /f:text

2.17. Отобразить 20 последних событий с кодом Event ID равным 1 из журнала системы в текстовом виде:

C:\ WEVTUtil query-events System /count:20 /rd:true /format:text /q:"Event[System[(EventID=1)]]"

2.18. Сохранить содержимое журнала событий системы в файл:

C:\ WEVTUtil export-log System C:\backup\sys-saved.evtx

2.19. Очистить журнал приложений Windows:

C:\ WEVTUtil.exe clear-log Application

2.20. То же, что и в предыдущем примере, но перед очисткой журнала выполняется его сохранение в файл C:\backup\all-event.evtx:

C:\ wevtutil.exe cl Application /bu:C:\backup\all-event.evtx