Computer >> Máy Tính >  >> Hệ thống >> Windows

WevtUtil là gì và bạn sử dụng nó như thế nào?

WevtUtil.exe là một tiện ích dòng lệnh trong hệ điều hành Windows, được sử dụng chủ yếu để đăng ký Nhà cung cấp của bạn trên máy tính. Công cụ được đặt trong % windir% \ System32 thư mục. Lệnh này được giới hạn cho các thành viên của nhóm Quản trị viên và phải được chạy với các đặc quyền nâng cao. Trong bài đăng này, chúng tôi thảo luận về cách sử dụng công cụ có sẵn này trong máy tính Windows 11 hoặc Windows 10.

WevtUtil là gì và bạn sử dụng nó như thế nào?

C System32 WevtUtil exe là gì?

Quá trình được gọi là Tiện ích dòng lệnh sự kiện của Windows có nguồn gốc từ hệ điều hành Windows của Microsoft. wevtutil.exe tệp nằm trong C :\ Windows \ System32 thư mục. Kích thước tệp trên Windows 11/10 là 171,008 byte. WevtUtil.exe là một tệp hệ thống lõi của Windows.

WevtUtil là gì và bạn sử dụng nó như thế nào?

WevtUtil.exe lệnh cho phép bạn truy xuất thông tin về nhật ký sự kiện và nhà xuất bản. Bạn có thể sử dụng lệnh để nhận thông tin siêu dữ liệu về nhà cung cấp, các sự kiện của nhà cung cấp và các kênh mà nó ghi lại các sự kiện cũng như để truy vấn các sự kiện từ một kênh hoặc tệp nhật ký.

Người dùng PC có thể chạy WevtUtil lệnh cho những điều sau:

  • Truy xuất thông tin về nhật ký sự kiện và nhà xuất bản.
  • Lưu trữ nhật ký ở định dạng độc lập.
  • Liệt kê các nhật ký có sẵn.
  • Cài đặt và gỡ cài đặt tệp kê khai sự kiện.
  • Chạy các truy vấn.
  • Xuất các sự kiện (từ nhật ký sự kiện, từ tệp nhật ký hoặc sử dụng truy vấn có cấu trúc) sang một tệp được chỉ định.
  • Xóa nhật ký sự kiện.

Để biết thông tin sử dụng, hãy nhập wevtutil /? tại dấu nhắc lệnh.

Sử dụng lệnh WevtUtil

Hãy xem một số cách sử dụng cơ bản của WevtUtil lệnh trên hệ thống Windows 11/10.

Nhấn phím Windows + R , nhập cmd và nhấn Enter để mở Command Prompt. Ngoài ra, mở Windows Terminal và chọn hồ sơ Command Prompt. Trong dấu nhắc CMD, hãy chạy các lệnh bên dưới cho (các) tác vụ tương ứng.

Lưu ý :Hầu hết các tùy chọn cho WevtUtil không phân biệt chữ hoa chữ thường, nhưng trợ giúp tích hợp sẵn và phải được yêu cầu trong trường hợp LÊN. Để truy xuất dữ liệu nhật ký sự kiện, lệnh ghép ngắn PowerShell Get-WinEvent dễ sử dụng hơn và linh hoạt hơn.

  • Liệt kê tên của tất cả các nhật ký :
wevtutil el
  • Hiển thị thông tin cấu hình về Nhật ký hệ thống trên máy tính cục bộ ở định dạng XML :
wevtutil gl System /f:xml
  • Sử dụng tệp cấu hình để đặt thuộc tính nhật ký sự kiện (xem Chú thích để biết ví dụ về tệp cấu hình) :
wevtutil sl /c:config.xml
  • Hiển thị thông tin về nhà xuất bản sự kiện Microsoft-Windows-Eventlog, bao gồm siêu dữ liệu về các sự kiện mà nhà xuất bản có thể nêu ra :
wevtutil gp Microsoft-Windows-Eventlog /ge:true
  • Cài đặt nhà xuất bản và nhật ký từ tệp kê khai myManifest.xml :
wevtutil im myManifest.xml
  • Gỡ cài đặt nhà xuất bản và nhật ký khỏi tệp kê khai myManifest.xml :
wevtutil um myManifest.xml
  • Hiển thị ba sự kiện gần đây nhất từ ​​Nhật ký ứng dụng ở định dạng văn bản :
wevtutil qe Application /c:3 /rd:true /f:text
  • Hiển thị trạng thái của Nhật ký ứng dụng :
wevtutil gli Application
  • Xuất sự kiện từ Nhật ký hệ thống sang C:\ backup \ system0506.evtx :
wevtutil epl System C:\backup\system0506.evtx
  • Xóa tất cả các sự kiện khỏi Nhật ký ứng dụng sau khi lưu chúng vào C:\ admin \ backups \ a10306.evtx :
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
  • Xóa tất cả các sự kiện khỏi Nhật ký ứng dụng :
wevtutil clear-log Application
  • Phân tích cú pháp mọi Nhật ký sự kiện được cài đặt trên máy tính và xóa tất cả , bạn có thể tạo một tệp hàng loạt với cú pháp bên dưới và chạy tệp .bat:
@echo off
for /f "tokens=*" %%G in ('wevtutil.exe el') do (wevtutil.exe cl "%%G")
  • Xuất sự kiện từ Nhật ký hệ thống sang C:\ backup \ ss64.evtx :
wevtutil export-log System C:\backup\ss64.evtx
  • Liệt kê các nhà xuất bản sự kiện trên máy tính hiện tại :
wevtutil enum-publishers
  • Gỡ cài đặt nhà xuất bản và nhật ký khỏi tệp kê khai SS64.man :
wevtutil uninstall-manifest SS64.man
  • Bật nhật ký sự kiện cho Trình lập lịch tác vụ :
wevtutil set-log "Microsoft-Windows-TaskScheduler/Operational" /e:true >null 2>&1
  • Hiển thị 50 sự kiện gần đây nhất từ ​​Nhật ký ứng dụng ở định dạng văn bản :
wevtutil qe Application /c:50 /rd:true /f:text
  • Tìm 20 sự kiện khởi động cuối cùng trong Nhật ký hệ thống :
wevtutil query-events System /count:20 /rd:true /format:text /q:"Event[System[(EventID=12)]]"

WevtUtil.exe lệnh có thể kiểm soát gần như mọi khía cạnh của Trình xem sự kiện và Nhật ký, vốn yêu cầu rất nhiều tham số và công tắc để kiểm soát các chi tiết này. Để xem cấu trúc chính của cú pháp cho WevtUtil.exe và tìm hiểu thêm về công cụ gốc này, hãy xem tài liệu của Microsoft.

Hy vọng bạn thấy bài đăng này đủ thông tin!

Làm cách nào để sử dụng nhật ký Windows?

Để truy cập Trình xem sự kiện trong Windows 11, Windows 10 và Máy chủ, hãy làm như sau:

  • Nhấp chuột phải vào nút Bắt đầu.
  • Chọn Bảng Điều khiển > Hệ thống &Bảo mật .
  • Nhấp đúp vào Công cụ quản trị .
  • Nhấp đúp vào Trình xem sự kiện .
  • Chọn loại nhật ký mà bạn muốn xem lại (ví dụ:Ứng dụng, Hệ thống).

Nhật ký hệ thống hiển thị gì?

Trong máy tính Windows 11/10, nhật ký hệ thống (Syslog) chứa bản ghi các sự kiện của hệ điều hành (OS) cho biết cách hệ thống xử lý và trình điều khiển được tải. Syslog hiển thị các sự kiện thông tin, lỗi và cảnh báo liên quan đến hệ điều hành máy tính.

Tôi có thể xóa các tệp nhật ký không?

Theo mặc định, DB không xóa các tệp nhật ký cho bạn. Vì lý do này, các tệp nhật ký của DB cuối cùng sẽ phát triển để tiêu thụ một lượng lớn không gian đĩa không cần thiết. Để đề phòng điều này, bạn nên định kỳ thực hiện hành động quản trị để xóa các tệp nhật ký không còn được ứng dụng của bạn sử dụng. Bạn có thể xóa tệp nhật ký cấp ứng dụng qua Chế độ xem hệ thống > Thuộc tính cơ sở dữ liệu > Chế độ xem doanh nghiệp . Mở rộng loại ứng dụng Lập kế hoạch và ứng dụng có chứa tệp nhật ký bạn muốn xóa. Nhấp chuột phải vào ứng dụng và chọn Xóa nhật ký .

WevtUtil là gì và bạn sử dụng nó như thế nào?