windwos 日志备份

博主示例(注意,导出以后回清空记录,要是不想清空,就把最后一句删了):

forfiles /p "E:\BACKUP\SYSTEM_LOG" /m system_*.evtx -d -30 /c "cmd /c del /f @path"
set "Ymd=%date:~0,4%_%date:~5,2%_%date:~8,2%_%time:~0,2%_%time:~3,2%_%time:~6,2%"
wevtutil epl security E:\BACKUP\SYSTEM_LOG\system_%Ymd%.evtx
ping -n 3 127.0.0.1>nul
wevtutil cl security

示例

列出所有日志的名称:

wevtutil el

以 XML 格式显示有关本地计算机上的系统日志的配置信息:

wevtutil gl System /f:xml

使用配置文件设置事件日志属性 (参阅) 的配置文件示例的备注:

wevtutil sl /c:config.xml

显示有关 Microsoft Windows-Eventlog 事件发布者的信息,包括有关发布者可以引发的事件的元数据:

wevtutil gp Microsoft-Windows-Eventlog /ge:true

从 myManifest.xml 清单文件中安装发布服务器和日志:


wevtutil im myManifest.xml


从 myManifest.xml 清单文件卸载发布服务器和日志:

wevtutil um myManifest.xml

以文本格式显示应用程序日志中三个最近的事件:

wevtutil qe Application /c:3 /rd:true /f:text

显示应用程序日志的状态:

wevtutil gli Application

将事件从系统日志导出到 C:\backup\system0506.evtx:

wevtutil epl System C:\backup\system0506.evtx

将所有事件保存到 C:\admin\backups\a10306.evtx 后,请清除应用程序日志中的所有事件:

wevtutil cl Application /bu:C:\admin\backups\a10306.evtx



微软示例:https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/wevtutil#examples