Exportar (0) Imprimir
Expandir Tudo
Arp
At
Cd
Cls
Cmd
Del
Dir
Fc
For
Ftp
If
Ldp
Lpq
Lpr
Md
Mmc
Msg
Nlb
Rcp
Rd
Reg
Rem
Ren
Rsh
Rsm
Rss
Sc
Set
Sfc
Ver
Vol
Expandir Minimizar
Este artigo foi traduzido por máquina. Coloque o ponteiro do mouse sobre as frases do artigo para ver o texto original. Mais informações.
Tradução
Original

Wevtutil

Permite que você recupere informações sobre logs de eventos e editores. Você também pode usar este comando para instalar e desinstalar manifestos de evento para executar consultas e exportar, arquivar e limpar logs. Para obter exemplos de como usar esse comando, consulte exemplos.

Sintaxe



wevtutil [{el | enum logs}] [{gl | get log} <Logname>[/ f: <Format>]][{sl | conjunto log} <Logname>[/ e: <Enabled>] [/ i: <Isolation>] [/ lfn: <Logpath>] [/ rt: <Retention>] [/ ab: <Auto>] [/ ms: <Size>] [/ l: <Level>] [/ k: <Keywords>] [/ ca: <Channel>] [/ c: <Config>]] [{ep | enum editores}] [{gp | get publisher} <Publishername>[/ ge: <Metadata>] [/ gm: <Message>] [/ f: <Format>]] [{im | manifesto de instalação} <Manifest>] [{um | manifesto desinstalar} <Manifest>] [{qe | consulta eventos} <Path>[/ lf: <Logfile>] [/ sq: <Structquery>] [/ p: <Query>] [/ bm: <Bookmark>] [/ sbm: <Savebm>] [/ rd: <Direction>] [/ f: <Format>] [/ l: <Locale>] [/ c: <Count>] [/ e: <Element>]] [{gli | get-loginfo} <Logname>[/ lf: <Logfile>]] [{epl | Exportar log} <Path><Exportfile>[/ lf: <Logfile>] [/ sq: <Structquery>] [/ p: <Query>] [/ omo: <Overwrite>]] [{al | arquivar registro} <Logpath>[/ l: <Locale>]] [{cl | limpar log} <Logname>[/ bu: <Backup>]] [/ r: <Remote>] [/ u: <Username>] [/ p: <Password>] [/ r: <Auth>] [/ uni: <Unicode>]

Parâmetros

Parâmetro Descrição

{el | enum logs}

Exibe os nomes de todos os logs.

{gl | get log} <Logname>[/ f: <Format>]

Exibe informações de configuração de log especificado, o que inclui se o log está habilitado ou não, o atual limite de tamanho máximo do log e o caminho para o arquivo onde o log é armazenado.

{sl | conjunto log} <Logname>[/ e: <Enabled>] [/ i: <Isolation>] [/ lfn: <Logpath>] [/ rt: <Retention>] [/ ab: <Auto>] [/ ms: <Size>] [/ l: <Level>] [/ k: <Keywords>] [/ ca: <Channel>] [/ c: <Config>]

Modifica a configuração de log especificado.

{ep | enum editores}

Exibe os editores de eventos no computador local.

{gp | get publisher} <Publishername>[/ ge: <Metadata>] [/ gm: <Message>] [/ f: <Format>]]

Exibe as informações de configuração para o Editor de evento especificado.

{im | manifesto de instalação} <Manifest>

Instala os editores de eventos e logs de um manifesto. Para obter mais informações sobre manifestos de evento e usar esse parâmetro, consulte o Log de eventos do Windows SDK no site da Microsoft Developers Network (MSDN) (http://msdn.microsoft.com).

{um | manifesto desinstalar} <Manifest>

Desinstala todos os editores e logs do manifesto. Para obter mais informações sobre manifestos de evento e usar esse parâmetro, consulte o Log de eventos do Windows SDK no site da Microsoft Developers Network (MSDN) (http://msdn.microsoft.com).

{qe | consulta eventos} <Path>[/ lf: <Logfile>] [/ sq: <Structquery>] [/ p: <Query>] [/ bm: <Bookmark>] [/ sbm: <Savebm>] [/ rd: <Direction>] [/ f: <Format>] [/ l: <Locale>] [/ c: <Count>] [/ e: <Element>]

Lê os eventos de um log de eventos de um arquivo de log ou usando uma consulta estruturada. Por padrão, você deve fornecer um nome de log <Path>. No entanto, se você usar a opção de /lf , em seguida, <Path>deve ser um caminho para um arquivo de log. Se você usar o parâmetro /sq , <Path>deve ser um caminho para um arquivo que contém uma consulta estruturada.

{gli | get-loginfo} <Logname>[/ lf: <Logfile>]

Exibe informações de status sobre um arquivo de log ou um log de eventos. Se for usada a opção /lf , <Logname>é um caminho para um arquivo de log. Você pode executar el wevtutil para obter uma lista de nomes de log.

{epl | Exportar log} <Path><Exportfile>[/ lf: <Logfile>] [/ sq: <Structquery>] [/ p: <Query>] [/ omo: <Overwrite>]

Exporta eventos de um log de eventos de um arquivo de log ou usando uma consulta estruturada para o arquivo especificado. Por padrão, você deve fornecer um nome de log <Path>. No entanto, se você usar a opção de /lf , em seguida, <Path>deve ser um caminho para um arquivo de log. Se você usar a opção /sq , <Path>deve ser um caminho para um arquivo que contém uma consulta estruturada. <Exportfile>é um caminho para o arquivo onde serão armazenados os eventos exportados.

{al | arquivar registro} <Logpath>[/ l: <Locale>]

O arquivo de log especificado em um formato autônomo de arquivos. É criado um subdiretório com o nome da localidade e todas as informações específicas de localidade é salvo nesse subdiretório. Após o arquivo de log e diretório são criadas executando wevtutil al, eventos no arquivo podem ser lido se o publisher está instalado ou não.

{cl | limpar log} <Logname>[/ bu: <Backup>]

Limpa eventos do log de eventos especificado. A opção /bu pode ser usada para fazer backup de eventos limpas.

Opções

Opção Descrição

/f: <Format>

Especifica que a saída deve ser o formato de texto ou XML. Se <Format>XML, a saída é exibida no formato XML. Se <Format>é o texto, a saída é exibida sem marcas XML. O padrão é texto.

/e: <Enabled>

Habilita ou desabilita um log. <Enabled>pode ser true ou false.

/i: <Isolation>

Define o modo de isolamento do log. <Isolation>pode ser o sistema, aplicativo ou personalizado. O modo de isolamento de um log determina se um log compartilha uma sessão com outros logs na mesma classe de isolamento. Se você especificar o isolamento do sistema, log de destino irá compartilhar pelo menos permissões de log do sistema de gravação. Se você especificar o isolamento do aplicativo, o log de destino irá compartilhar pelo menos permissões de log do aplicativo de gravação. Se você especificar isolamento personalizado, você também deve fornecer um descritor de segurança usando a opção /ca .

/LFN: <Logpath>

Define o nome do arquivo de log. <Logpath>é um caminho completo para o arquivo onde o serviço de Log de eventos armazena eventos deste log.

/RT: <Retention>

Define o modo de retenção de log. <Retention>pode ser true ou false. O modo de retenção de log determina o comportamento do serviço Log de eventos quando um log alcança seu tamanho máximo. Se um log de eventos atingir seu tamanho máximo e o modo de retenção do log for true, eventos existentes são mantidos e os eventos de entrada são descartados. Se o modo de retenção do log for false, os eventos de entrada substituir eventos mais antigos no log.

/AB: <Auto>

Especifica a diretiva de backup automático do log. <Auto>pode ser true ou false. Se esse valor for true, o log será feito backup automaticamente quando atinge o tamanho máximo. Se esse valor for true, a retenção (especificada com a opção /rt ) também deve ser definida como true.

/ ms: <Size>

Define o tamanho máximo do log em bytes. O tamanho mínimo do log é 1048576 bytes (1024 KB) e arquivos de log são sempre múltiplos de 64 KB, portanto, o valor inserido será arredondado adequadamente.

/l: <Level>

Define o filtro de nível de log. <Level>pode ser qualquer valor de nível válido. Esta opção só é aplicável aos logs de uma sessão dedicada. Você pode remover um filtro de nível definindo <Level>para 0.

/k: <Keywords>

Especifica o filtro de palavras-chave do registro. <Keywords>pode ser qualquer máscara de palavra-chave de 64 bits válido. Esta opção só é aplicável aos logs de uma sessão dedicada.

/CA: <Channel>

Define a permissão de acesso para um log de eventos. <Channel>é um descritor de segurança que utiliza a definição de linguagem SDDL (Security Descriptor). Para obter mais informações sobre o formato SDDL, consulte o site Microsoft Developers Network (MSDN) (http://msdn.microsoft.com).

/c: <Config>

Especifica o caminho para um arquivo de configuração. Esta opção fará com que as propriedades de log ser lido do arquivo de configuração definido em <Config>. Se você usar essa opção, você não deve especificar <Logname>parâmetro. O nome do log será lido do arquivo de configuração.

/GE: <Metadata>

Obtém informações de metadados para eventos que podem ser disparados por esse editor. <Metadata>pode ser true ou false.

/GM: <Message>

Exibe a mensagem real em vez da identificação numérica de mensagem. <Message>pode ser true ou false.

/LF: <Logfile>

Especifica que os eventos devem ser lidos a partir de um log ou um arquivo de log. <Logfile>pode ser true ou false. Se for true, o parâmetro do comando é o caminho para um arquivo de log.

/ sq: <Structquery>

Especifica que os eventos devem ser obtidos com uma consulta estruturada. <Structquery>pode ser true ou false. Se verdadeiro, <Path>é o caminho para um arquivo que contém uma consulta estruturada.

/q: <Query>

Define a consulta XPath para filtrar os eventos que são lidos ou exportados. Se essa opção não for especificada, todos os eventos serão retornados ou exportados. Esta opção não está disponível quando /sq é verdadeiro.

/BM: <Bookmark>

Especifica o caminho para um arquivo que contém um indicador de uma consulta anterior.

/SBM: <Savebm>

Especifica o caminho para um arquivo que é usado para salvar um indicador desta consulta. A extensão de nome de arquivo deve ser. XML.

/RD: <Direction>

Especifica a direção na qual os eventos são lidos. <Direction>pode ser true ou false. Se verdadeiro, os eventos mais recentes são retornados primeiro.

/l: <Locale>

Define uma seqüência de caracteres de localidade é usada para imprimir texto de evento em um local específico. Disponível somente quando imprimir eventos no formato de texto usando a opção /f .

/c: <Count>

Define o número máximo de eventos de leitura.

/e: <Element>

Inclui um elemento raiz ao exibir eventos em XML. <Element>é a seqüência de dentro do elemento raiz. Por exemplo, /e:root resultaria em XML que contém o par de elemento raiz <root> </root>.

/ omo: <Overwrite>

Especifica que o arquivo de exportação deve ser substituído. <Overwrite>pode ser true ou false. Se true e o arquivo de exportação especificado em <Exportfile>já existir, ele será substituído sem confirmação.

/BU: <Backup>

Especifica o caminho para um arquivo onde serão armazenados os eventos desmarcados. Inclua a extensão. evtx o nome do arquivo de backup.

/r: <Remote>

Executa o comando em um computador remoto. <Remote>é o nome do computador remoto. Os parâmetros de im e um não suportam a operação remota.

/u: <Username>

Especifica um usuário diferente para fazer logon um computador remoto. <Username>é um nome de usuário no formato domínio \ usuário ou usuário. Esta opção só é aplicável quando a opção /r for especificada.

/p: <Password>

Especifica a senha do usuário. Se a opção /u for usada e essa opção não for especificada ou <Password>é "*", o usuário será solicitado a digitar uma senha. Esta opção só é aplicável quando a opção /u é especificada.

/a: <Auth>

Define o tipo de autenticação para se conectar a um computador remoto. <Auth>pode ser padrão, Negotiate, Kerberos ou NTLM. O padrão é negociar.

/uni: <Unicode>

Exibe a saída em Unicode. <Unicode>pode ser true ou false. Se <Unicode>é verdade, a saída será em Unicode.

Comentários

  • Usando um arquivo de configuração com o parâmetro sl

    O arquivo de configuração é um arquivo XML com o mesmo formato de saída de wevtutil gl <Logname>/f:XML. O exemplo a seguir mostra o formato de um arquivo de configuração que permite a retenção, permite a autobackup e define o tamanho máximo do log no log do aplicativo:

    
    
    <? xml versão = "1.0" encoding = "UTF-8"? >< nome do canal = "Aplicativo" isolation="Application"xmlns="http://schemas.microsoft.com/win/2004/08/events" >< log >< retenção > Verdadeiro </retention> Verdadeiro <autoBackup> </autoBackup> <maxSize> 9000000 </maxSize> </logging> <publishing> </publishing> </channel>
    
    

Exemplos

Lista os nomes de todos os logs:



wevtutil el

Exibir informações de configuração sobre o log do sistema no computador local no formato XML:



wevtutil gl /f:xml do sistema

Use um arquivo de configuração para definir atributos do log de eventos (consulte os comentários para um exemplo de um arquivo de configuração):



wevtutil sl /c:config.xml

Exibir informações sobre o Editor de eventos Microsoft-Windows-log de eventos, incluindo metadados sobre os eventos que o publisher pode elevar:



wevtutil gp Microsoft-Windows-log de eventos /ge:true

Instale editores e logs do arquivo de manifesto myManifest.xml:



wevtutil im myManifest.xml

Desinstale editores e logs do arquivo de manifesto do myManifest.xml:



wevtutil um myManifest.xml

Exiba os últimos três eventos do log de aplicativo no formato textual:



wevtutil qe aplicativo /c:3 /rd:true /f:text

Exiba o status do log do aplicativo:



wevtutil gli aplicativo

Exporte eventos do log de sistema para C:\backup\system0506.evtx:



wevtutil epl sistema C:\backup\system0506.evtx

Limpe todos os eventos do log de aplicativo após salvá-las para C:\admin\backups\a10306.evtx:



wevtutil cl aplicativo /bu:C:\admin\backups\a10306.evtx

Referências adicionais

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft