博主示例(注意,导出以后回清空记录,要是不想清空,就把最后一句删了):
forfiles /p "E:\BACKUP\SYSTEM_LOG" /m system_*.evtx -d -30 /c "cmd /c del /f @path" set "Ymd=%date:~0,4%_%date:~5,2%_%date:~8,2%_%time:~0,2%_%time:~3,2%_%time:~6,2%" wevtutil epl security E:\BACKUP\SYSTEM_LOG\system_%Ymd%.evtx ping -n 3 127.0.0.1>nul wevtutil cl security
示例
列出所有日志的名称:
wevtutil el
以 XML 格式显示有关本地计算机上的系统日志的配置信息:
wevtutil gl System /f:xml
使用配置文件设置事件日志属性 (参阅) 的配置文件示例的备注:
wevtutil sl /c:config.xml
显示有关 Microsoft Windows-Eventlog 事件发布者的信息,包括有关发布者可以引发的事件的元数据:
wevtutil gp Microsoft-Windows-Eventlog /ge:true
从 myManifest.xml 清单文件中安装发布服务器和日志:
wevtutil im myManifest.xml
从 myManifest.xml 清单文件卸载发布服务器和日志:
wevtutil um myManifest.xml
以文本格式显示应用程序日志中三个最近的事件:
wevtutil qe Application /c:3 /rd:true /f:text
显示应用程序日志的状态:
wevtutil gli Application
将事件从系统日志导出到 C:\backup\system0506.evtx:
wevtutil epl System C:\backup\system0506.evtx
将所有事件保存到 C:\admin\backups\a10306.evtx 后,请清除应用程序日志中的所有事件:
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
微软示例:https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/wevtutil#examples
文章评论