Exporter (0) Imprimer
Développer tout
Arp
At
Cd
Cls
Cmd
Del
Dir
Fc
For
Ftp
If
Ldp
Lpq
Lpr
Md
Mmc
Msg
Nlb
Rcp
Rd
Reg
Rem
Ren
Rsh
Rsm
Rss
Sc
Set
Sfc
Ver
Vol
Développer Réduire
Cet article a fait l'objet d'une traduction automatique. Déplacez votre pointeur sur les phrases de l'article pour voir la version originale de ce texte. Informations supplémentaires.
Traduction
Source

Wevtutil

Permet de récupérer des informations sur les journaux des événements et des éditeurs. Vous pouvez également utiliser cette commande pour installer et désinstaller des manifestes d'événement pour exécuter des requêtes et à exporter, archiver et effacer les journaux. Pour obtenir des exemples d'utilisation de cette commande, voir des exemples.

Syntaxe



wevtutil [{el | enum-logs}] [{gl | get-log} <Logname>[/ f: <Format>]][{sl | set-log} <Logname>[/ e: <Enabled>] [/ i: <Isolation>] [/ lfn : <Logpath>] [/ rt: <Retention>] [/ ab : <Auto>] [/ ms: <Size>] [/ l: <Level>] [/ k: <Keywords>] [/ ca: <Channel>] [/ c: <Config>]] [{ep | enum-publishers}] [{gp | get-publisher} <Publishername>[/ ge: <Metadata>] [/ gm: <Message>] [/ f: <Format>]] [{im | install-manifest} <Manifest>] [{um | uninstall-manifest} <Manifest>] [{qe | événements de requête} <Path>[/ lf: <Logfile>] [/ CARRE: <Structquery>] [/ q: <Query>] [/ bm: <Bookmark>] [/ sbm : <Savebm>] [/ rd: <Direction>] [/ f: <Format>] [/ l: <Locale>] [/ c: <Count>] [/ e: <Element>]] [{gli | get-loginfo} <Logname>[/ lf: <Logfile>]] [{epl | export-log} <Path><Exportfile>[/ lf: <Logfile>] [/ CARRE: <Structquery>] [/ q: <Query>] [/ ow : <Overwrite>]] [{al | archive-log} <Logpath>[/ l: <Locale>]] [{cl | clear-log} <Logname>[/ bu: <Backup>]] [/ r: <Remote>] [/ u: <Username>] [/ p: <Password>] [/ a: <Auth>] [/ uni : <Unicode>]

Paramètres

Paramètre Description

{el | enum-logs}

Affiche les noms de tous les journaux.

{gl | get-log} <Logname>[/ f: <Format>]

Affiche les informations de configuration pour le journal spécifié, qui comprend que le journal est activé ou non, la limite actuelle de la taille maximale du journal et le chemin d'accès au fichier dans lequel le journal est stocké.

{sl | set-log} <Logname>[/ e: <Enabled>] [/ i: <Isolation>] [/ lfn : <Logpath>] [/ rt: <Retention>] [/ ab : <Auto>] [/ ms: <Size>] [/ l: <Level>] [/ k: <Keywords>] [/ ca: <Channel>] [/ c: <Config>]

Modifie la configuration du journal spécifié.

{ep | enum-publishers}

Affiche les éditeurs d'événements sur l'ordinateur local.

{gp | get-publisher} <Publishername>[/ ge: <Metadata>] [/ gm: <Message>] [/ f: <Format>]]

Affiche les informations de configuration de l'éditeur d'événements spécifié.

{im | install-manifest} <Manifest>

Installe les journaux et éditeurs d'événements à partir d'un manifeste. Pour plus d'informations sur les manifestes de l'événement et l'utilisation de ce paramètre, consultez le Kit de développement du journal des événements Windows sur le site Web de Microsoft Developers Network (MSDN) (http://msdn.microsoft.com).

{um | uninstall-manifest} <Manifest>

Désinstalle tous les journaux et éditeurs à partir d'un manifeste. Pour plus d'informations sur les manifestes de l'événement et l'utilisation de ce paramètre, consultez le Kit de développement du journal des événements Windows sur le site Web de Microsoft Developers Network (MSDN) (http://msdn.microsoft.com).

{qe | événements de requête} <Path>[/ lf: <Logfile>] [/ CARRE: <Structquery>] [/ q: <Query>] [/ bm: <Bookmark>] [/ sbm : <Savebm>] [/ rd: <Direction>] [/ f: <Format>] [/ l: <Locale>] [/ c: <Count>] [/ e: <Element>]

Lit les événements dans un journal des événements, à partir d'un fichier journal ou à l'aide d'une requête structurée. Par défaut, vous fournissez un nom de journal de <Path>. Toutefois, si vous utilisez l'option /lf , puis <Path>doit être un chemin d'accès à un fichier journal. Si vous utilisez le paramètre /sq , <Path>doit être un chemin d'accès à un fichier qui contient une requête structurée.

{gli | get-loginfo} <Logname>[/ lf: <Logfile>]

Affiche les informations à propos d'un journal des événements ou le fichier journal. Si l'option /lf est utilisée, <Logname>est un chemin vers un fichier journal. Vous pouvez exécuter wevtutil el pour obtenir une liste des noms de journaux.

{epl | export-log} <Path><Exportfile>[/ lf: <Logfile>] [/ CARRE: <Structquery>] [/ q: <Query>] [/ ow : <Overwrite>]

Exporte des événements à partir d'un journal des événements, à partir d'un fichier journal ou à l'aide d'une requête structurée dans le fichier spécifié. Par défaut, vous fournissez un nom de journal de <Path>. Toutefois, si vous utilisez l'option /lf , puis <Path>doit être un chemin d'accès à un fichier journal. Si vous utilisez l'option /sq , <Path>doit être un chemin d'accès à un fichier qui contient une requête structurée. <Exportfile>est un chemin d'accès au fichier dans lequel les événements exportés seront stockés.

{al | archive-log} <Logpath>[/ l: <Locale>]

Archive le fichier journal spécifié dans un format autonome. Création d'un sous-répertoire portant le nom des paramètres régionaux et toutes les informations de paramètres régionaux spécifique sont enregistrées dans ce sous-répertoire. Après avoir créé le répertoire et le fichier journal en exécutant wevtutil al, les événements dans le fichier peuvent être lu si l'éditeur est installé ou non.

{cl | clear-log} <Logname>[/ bu: <Backup>]

Efface les événements du journal des événements spécifié. L'option/BU L'option/BU peut être utilisée pour sauvegarder les événements effacés.

Options

Option Description

/ f: <Format>

Spécifie que la sortie doit être au format XML ou texte. Si <Format>est au format XML, la sortie est affichée au format XML. Si <Format>représente le texte, la sortie est affichée sans balises XML. La valeur par défaut est texte.

/ e: <Enabled>

Active ou désactive un journal. <Enabled>peut être true ou false.

/ i: <Isolation>

Définit le mode d'isolation du journal. <Isolation>peuvent être le système, application ou personnalisé. Le mode d'isolation d'un journal détermine si un journal partage une session avec d'autres journaux dans la même classe d'isolation. Si vous spécifiez d'isolation du système, le journal cible partageront écrire au moins des autorisations dans le journal système. Si vous spécifiez l'isolation des applications, le journal cible partageront écrire au moins des autorisations avec le journal d'Application. Si vous spécifiez isolation personnalisée, vous devez également fournir un descripteur de sécurité en utilisant l'option /ca .

/LFN : <Logpath>

Définit le nom du fichier journal. <Logpath>est un chemin d'accès complet au fichier dans lequel le service journal des événements consigne les événements pour ce journal.

/RT: <Retention>

Définit le mode de rétention du journal. <Retention>peut être true ou false. Le mode de rétention du journal détermine le comportement du service journal des événements lorsqu'un journal atteint sa taille maximale. Si un journal des événements atteint sa taille maximale et le mode de rétention du journal est true, les événements existants sont conservés et les événements entrants sont rejetés. Si le mode de rétention du journal est false, les événements entrants remplacent les événements les plus anciens dans le journal.

/ AB : <Auto>

Spécifie la stratégie de sauvegarde automatique du journal. <Auto>peut être true ou false. Si cette valeur est true, le journal va être sauvegardé automatiquement lorsqu'il atteint la taille maximale. Si cette valeur est true, la rétention (spécifiée avec l'option /rt ) doit également être définie sur true.

/ ms: <Size>

Définit la taille maximale du journal en octets. La taille de journal minimal est de 1 048 576 octets (1 024 Ko) et les fichiers journaux sont toujours des multiples de 64 Ko, afin que la valeur que vous entrez sera arrondie en conséquence.

/ l: <Level>

Définit le filtre au niveau du journal. <Level>peut être n'importe quelle valeur niveau valide. Cette option est uniquement applicable aux journaux avec une session dédiée. Vous pouvez supprimer un filtre au niveau en définissant <Level>0.

/ k: <Keywords>

Spécifie le filtre de mots clés du journal. <Keywords>peut être n'importe quel masque de mot clé 64 bits valide. Cette option est uniquement applicable aux journaux avec une session dédiée.

/CA: <Channel>

Définit l'autorisation d'accès pour un journal des événements. <Channel>est un descripteur de sécurité qui utilise la définition du langage SDDL (Security Descriptor). Pour plus d'informations sur le format SDDL, consultez le site Web de Microsoft Developers Network (MSDN) (http://msdn.microsoft.com).

/ c: <Config>

Spécifie le chemin d'accès à un fichier de configuration. Cette option fera que les propriétés du journal à lire à partir du fichier de configuration défini dans <Config>. Si vous utilisez cette option, vous ne devez pas spécifier un <Logname>paramètre. Le nom du journal est lues dans le fichier de configuration.

/GE: <Metadata>

Obtient les informations de métadonnées pour les événements qui peuvent être déclenchés par cet éditeur. <Metadata>peut être true ou false.

/ GM: <Message>

Affiche le message réel au lieu de l'ID du message numérique. <Message>peut être true ou false.

/LF: <Logfile>

Spécifie que les événements doivent être lues à partir d'un journal ou d'un fichier journal. <Logfile>peut être true ou false. Si true, le paramètre de la commande est le chemin d'accès à un fichier journal.

/ CARRE: <Structquery>

Spécifie que les événements doivent être obtenus avec une requête structurée. <Structquery>peut être true ou false. Si true, <Path>est le chemin d'accès à un fichier qui contient une requête structurée.

/q <Query>

Définit la requête XPath pour filtrer les événements qui sont lues ou exportés. Si cette option n'est pas spécifiée, tous les événements seront renvoyées ou exportées. Cette option n'est pas disponible lorsque /sq est true.

/BM: <Bookmark>

Spécifie le chemin d'accès à un fichier qui contenait un signet à partir d'une requête précédente.

/SBM : <Savebm>

Spécifie le chemin d'accès à un fichier qui est utilisé pour enregistrer un signet de cette requête. L'extension de nom de fichier doit être .xml.

/RD: <Direction>

Spécifie le sens dans lequel les événements sont lus. <Direction>peut être true ou false. Si true, les événements les plus récents sont renvoyées en premier.

/ l: <Locale>

Définit une chaîne de paramètres régionaux est utilisée pour imprimer le texte de l'événement dans une zone géographique spécifique. Disponible uniquement lors de l'impression des événements au format texte à l'aide de l'option /f .

/ c: <Count>

Définit le nombre maximal d'événements à lire.

/ e: <Element>

Inclut un élément racine lors de l'affichage des événements dans le fichier XML. <Element>est la chaîne que vous souhaitez au sein de l'élément racine. Par exemple, /e:root donnerait dans le fichier XML qui contient la paire d'élément racine <root> </root>.

/ ow : <Overwrite>

Spécifie que le fichier d'exportation doit être remplacé. <Overwrite>peut être true ou false. Si true et le fichier d'exportation spécifiés dans <Exportfile>Il existe déjà, il sera écrasé sans confirmation.

/ BU: <Backup>

Spécifie le chemin d'accès à un fichier où seront stockés les événements effacés. Inclure l'extension .evtx dans nom du fichier de sauvegarde.

/ r: <Remote>

Exécute la commande sur un ordinateur distant. <Remote>est le nom de l'ordinateur distant. Les paramètres de messagerie instantanée et de messagerie unifiée ne supportent pas l'opération à distance.

/ u: <Username>

Spécifie un autre utilisateur à ouvrir une session sur un ordinateur distant. <Username>est un nom d'utilisateur dans le format domaine\utilisateur ou l'utilisateur. Cette option est applicable uniquement lorsque l'option /r est spécifiée.

/ p: <Password>

Spécifie le mot de passe pour l'utilisateur. Si l'option /u est utilisée et que cette option n'est pas spécifiée ou <Password>est "*", l'utilisateur sera invité à entrer un mot de passe. Cette option est applicable uniquement lorsque l'option /u est spécifiée.

/ a: <Auth>

Définit le type d'authentification pour se connecter à un ordinateur distant. <Auth>peut être par défaut, Negotiate, Kerberos ou NTLM. La valeur par défaut est Negotiate.

/Uni : <Unicode>

Affiche la sortie en Unicode. <Unicode>peut être true ou false. Si <Unicode>Cette propriété a la valeur true, la sortie est au format Unicode.

Remarques

  • À l'aide d'un fichier de configuration avec le paramètre sl

    Le fichier de configuration est un fichier XML avec le même format que la sortie de wevtutil gl <Logname>/f:XML. L'exemple suivant montre le format de fichier de configuration qui permet la rétention, permet la sauvegarde automatique et définit la taille maximale du journal sur le journal d'Application :

    
    
    <? xml version = "1.0" encoding = "UTF-8"? >< nom du canal = "Application" isolation="Application"xmlns="http://schemas.microsoft.com/win/2004/08/events" >< enregistrement >< rétention > true </retention> true <autoBackup> </autoBackup> <maxSize> dont 9000000 </maxSize> </logging> <publishing> </publishing> </channel>
    
    

Exemples

Lister les noms de tous les journaux :



wevtutil el

Afficher les informations de configuration sur le journal système sur l'ordinateur local au format XML :



wevtutil gl System /f:xml

Utiliser un fichier de configuration pour définir les attributs de journal des événements (voir Remarques pour obtenir un exemple de fichier de configuration) :



wevtutil sl /c:config.xml

Afficher des informations sur l'éditeur d'événements Microsoft-Windows-Eventlog, y compris les métadonnées concernant les événements de l'éditeur capable de déclencher :



wevtutil gp Microsoft-Windows-Eventlog /ge:true

Installer des journaux et éditeurs à partir du fichier manifeste monManifeste.XML :



wevtutil im monManifeste.Xml

Désinstaller les journaux et éditeurs à partir du fichier manifeste monManifeste.XML :



wevtutil um monManifeste.Xml

Afficher les trois événements les plus récents à partir du journal d'Application dans un format textuel :



wevtutil qe Application /c:3 /rd:true /f:text

Afficher l'état du journal d'Application :



wevtutil gli Application

Exporter les événements du journal système pour C:\backup\system0506.evtx :



wevtutil epl C:\backup\system0506.evtx système

Effacer tous les événements du journal des applications après les avoir enregistrées à C:\admin\backups\a10306.evtx :



wevtutil cl Application /bu:C:\admin\backups\a10306.evtx

Références supplémentaires

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft