この記事は機械翻訳されています。英語版の記事を表示するには、[英語] のチェック ボックスをオンにしてください。また、テキストにマウス ポインターを合わせると、ポップアップ ウィンドウに英語のテキストを表示することもできます。
翻訳
英語

Wevtutil

イベント ログおよび発行者に関する情報を取得することができます。 またインストールおよびアンインストールのイベント マニフェストを使用してクエリを実行し、エクスポートするには、次のようにアーカイブをするには、このコマンドを使用してログをオフにすることもできます。 このコマンドを使用する方法の例については、を参照してください。

構文



wevtutil [{el | 列挙ログ}] [{gl | get ログ} <Logname>[/f: <Format>][{sl | セット ログ} <Logname>[/e: <Enabled>][/i: <Isolation>][/lfn: <Logpath>][/rt: <Retention>][/ab: <Auto>][/ms: <Size>][/長さ: <Level>][/k: <Keywords>][/ca: <Channel>][/c: <Config>][{ep | 出版社の enum}][{gp | get と出版社が <Publishername>[/ge: <Metadata>][/gm: <Message>][/f: <Format>][{im | インストール マニフェスト} <Manifest>][{um | アンインストール マニフェスト} <Manifest>][{qe | クエリ イベント} <Path>[/lf: <Logfile>][/sq: <Structquery>][/q: <Query>][/bm: <Bookmark>][/sbm: <Savebm>][/rd: <Direction>][/f: <Format>][/長さ: <Locale>][/c: <Count>][/e: <Element>][{gli | get-loginfo} <Logname>[/lf: <Logfile>][{epl | エクスポート ログ} <Path><Exportfile>[/lf: <Logfile>][/sq: <Structquery>][/q: <Query>][向上: <Overwrite>][{al | アーカイブ ログ} <Logpath>[/長さ: [<Locale>][{cl | オフ ログ} <Logname>[/bu: <Backup>][/r: <Remote>][/u: <Username>][/p: <Password>][/a: <Auth>][/uni: <Unicode>]

パラメーター

パラメーター 説明

{el | enum-logs}

すべてのログの名前が表示されます。

{gl | get-log} <Logname> [/f:<Format>]

構成情報、ログが有効かどうかは、指定したログをログ、およびパスの現在のサイズの上限をログが格納されているファイルを表示します。

{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<Size>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]

指定したログの構成を変更します。

{ep | enum-publishers}

イベントの発行元がローカル コンピューターに表示します。

{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]]

指定されたイベントの発行元の構成情報を表示します。

{im | install-manifest} <Manifest>

イベントの発行元とログからマニフェストをインストールします。 イベント マニフェストし、このパラメーターを使用しての詳細については、マイクロソフト開発者ネットワーク (MSDN) Web サイト (http://msdn.microsoft.com) での Windows イベント ログ SDK を参照してください。

{um | uninstall-manifest} <Manifest>

すべてのパブリッシャーおよびログからマニフェストをアンインストールします。 イベント マニフェストし、このパラメーターを使用しての詳細については、マイクロソフト開発者ネットワーク (MSDN) Web サイト (http://msdn.microsoft.com) での Windows イベント ログ SDK を参照してください。

{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]

イベント ログ ファイル、または構造化クエリを使用してイベント ログを読み取ります。 既定では、ログの名前を <Path> を提供します。 ただし場合は、 /lfオプションを <Path> を使用ログ ファイルへのパスにする必要があります。 <Path>、 /Sqパラメーターを使用する場合構造化されたクエリを含むファイルへのパスにする必要があります。

{gli | get-loginfo} <Logname>[/lf: <Logfile>]

ステータス情報についてはイベント ログまたはログ ファイルを表示します。 場合は、 /lfオプションを使用 <Logname>ログ ファイルへのパスです。 ログの名前の一覧を取得するには、 wevtutil elを実行できます。

{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]

ログ ファイル、または構造化クエリに指定されたファイルを使用して、イベント ログからイベントをエクスポートします。 既定では、ログの名前を <Path> を提供します。 ただし場合は、 /lfオプションを <Path> を使用ログ ファイルへのパスにする必要があります。 <Path>、 /Sqオプションを使用する場合構造化されたクエリを含むファイルへのパスにする必要があります。 <Exportfile>エクスポートされたイベントが格納されるファイルへのパスです。

{al | archive-log} <Logpath> [/l:<Locale>]

自己完結型の形式で指定されたログ ファイルをアーカイブします。 ロケールの名前を持つサブディレクトリを作成し、すべてのロケール固有の情報がそのサブディレクトリに保存されます。 ディレクトリとログ ファイルを作成した後 [ wevtutil alを実行することによって、パブリッシャーがインストールされているかどうか、ファイル内のイベントを確認できます。

{cl | clear-log} <Logname> [/bu:<Backup>]

指定したイベント ログからイベントを消去します。 消去したイベントをバックアップするには、 /buオプションを使用できます。

オプション

オプション 説明

/f: <Format>

出力は、XML またはテキストのいずれかの形式であることを指定します。 場合 <Format>xml は、XML 形式で出力されます。 場合 <Format>テキストは、XML タグに出力されます。 既定値はテキストです。

/e:<Enabled>

有効または、ログが無効になります。 <Enabled>true または false を指定することができます。

/i: <Isolation>

ログの分離モードを設定します。 <Isolation>システム、アプリケーション、またはカスタムです。 分離モードのログのログが同じ分離クラス内の他のログと、セッションを共有するかどうかを決定します。 ターゲット ログを共有するシステムの独立性を指定する場合は、少なくとも書き込みアクセス許可を持つ、システム ログ。 アプリケーションの分離を指定した場合は、対象のログを共有する少なくとも書き込みアクセス権がアプリケーション ログにします。 独自の独立性を指定すると、 /caオプションを使用して、セキュリティ記述子を指定することもする必要があります。

/lfn: <Logpath>

ログ ファイルの名前を定義します。 <Logpath>イベント ログ サービスがこのログにイベントを格納するファイルのフルパスです。

/rt: <Retention>

ログの保存モードを設定します。 <Retention>true または false を指定することができます。 ログが最大サイズに達すると、ログの保持モード、イベント ログ サービスの動作を決定します。 イベント ログが最大サイズに達するし、ログの保存モードが true が場合は、既存のイベントを保持しているし、受信イベントは破棄されます。 ログの保存モードが false の場合、受信イベント ログ内の最も古いイベントを上書きします。

/ab: <Auto>

ログの自動バックアップ ポリシーを指定します。 <Auto>true または false を指定することができます。 この値が true の場合は、その最大サイズに達すると、ログに自動的にバックアップされます。 この値が true の場合は、(、 /rtオプションで指定)、保存も設定する必要があります true にします。

/ms: <Size>

ログの最大サイズ (バイト単位) を設定します。 最小のログ サイズは 1048576 バイト (1,024 kb) が、入力した値に応じて丸められますログ ファイルは常に 64 KB の倍数です。

/l:<Level>

ログのレベルのフィルターを定義します。 <Level>レベルの任意の有効な値があります。 このオプションはのみのログを専用のセッションに適用されます。 <Level> を設定することにより、レベル フィルターを削除することができます。0 にします。

/k: <Keywords>

ログのキーワード フィルターを指定します。 <Keywords>64 ビットの有効なキーワード マスクがあります。 このオプションはのみのログを専用のセッションに適用されます。

/ca: <Channel>

イベント ログのアクセス許可を設定します。 <Channel>セキュリティ記述子定義言語 (SDDL) を使用して、セキュリティ記述子です。 SDDL 形式の詳細については、マイクロソフト開発者ネットワーク (MSDN) Web サイト (http://msdn.microsoft.com) を参照してください。

/c: <Config>

構成ファイルへのパスを指定します。 このオプションは、ログのプロパティを <Config> に定義されている構成ファイルから読み取ることがされます。 このオプションを使用する場合は、<Logname> を指定しなければなりませんパラメーター。 ログ名は、構成ファイルから読み取られます。

/ge: <Metadata>

この発行元から発生することができますイベントのメタデータ情報を取得します。 <Metadata>true または false を指定することができます。

/gm: <Message>

メッセージの数値 ID の代わりに実際のメッセージが表示されます。 <Message>true または false を指定することができます。

/lf: <Logfile>

イベント ログまたはログ ファイルから読み取られるように指定します。 <Logfile>true または false を指定することができます。 True の場合、コマンドのパラメーターは、ログ ファイルへのパスです。

/sq: <Structquery>

イベント構造化クエリで取得することを指定します。 <Structquery>true または false を指定することができます。 True の場合、<Path>構造化されたクエリを含むファイルへのパスです。

/q: <Query>

読み取りまたはエクスポートされるイベントをフィルター処理するには、XPath クエリを定義します。 このオプションが指定されていない場合は、すべてのイベントを返すまたはエクスポートされます。 /Sq /Sq が true の場合、このオプションは利用できません。

/bm: <Bookmark>

以前のクエリからブックマークを含むファイルへのパスを指定します。

/sbm: <Savebm>

このクエリのブックマークを保存するために使用するファイルへのパスを指定します。 .Xml ファイル名の拡張子があります。

/rd: <Direction>

イベントの表示方向を指定します。 <Direction>true または false を指定することができます。 True の場合は、最新のイベントが最初に返されます。

/l:<Locale>

特定のロケールでのイベントのテキストを印刷するために使用するロケールの文字列を定義します。 イベントでは、 /fオプションを使用してテキストの書式を印刷するときだけ使用できます。

/c: <Count>

読み取りイベントの最大数を設定します。

/e:<Element>

XML でイベントを表示するときに、ルート要素が含まれます。 <Element>ルート要素内での文字列です。 たとえば、 /e:root <root>、ルート要素の組み合わせが含まれている XML が </root>。

/ow:<Overwrite>

エクスポート ファイルを上書きすることを指定します。 <Overwrite> します。true または false を指定することができます。 True の場合とそのエクスポート ファイル <Exportfile> でを指定した場合既に存在すると、確認なし上書きされます。

/bu: <Backup>

消去したイベントが格納されるファイルへのパスを指定します。 .Evtx 拡張、バックアップ ファイルの名前が含まれます。

/r: <Remote>

リモート コンピューターでコマンドを実行します。 <Remote>リモート コンピューターの名前です。 Im Imumのパラメーターは、リモート操作をサポートしていません。

/u: <Username>

リモート コンピューターにログオンするには、別のユーザーを指定します。 <Username>ユーザーまたはユーザーのユーザー名です。 このオプションは、 /rオプションが指定されている場合にのみ適用されます。

/p: <Password>

ユーザーのパスワードを指定します。 /U /U オプションを使用して、このオプションが指定されていない場合、または <Password>"*"をユーザーはパスワードの入力を求められます。 このオプションは、 /uオプションを指定する場合にのみ適用されます。

/a: <Auth>

リモート コンピューターに接続するための認証の種類を定義します。 <Auth>既定、Negotiate、Kerberos または NTLM をすることができます。 既定でネゴシエートされます。

/uni: <Unicode>

Unicode で出力を表示します。 <Unicode>true または false を指定することができます。 場合 <Unicode>出力を Unicode では、です。

解説

  • Sl のパラメーターでは、構成ファイルを使用

    構成ファイルは XML ファイルと同じ形式で wevtutil gl <Logname> の出力です。/f:xml。 次の例では、保存管理機能を有効に、自動バックアップを有効に、アプリケーション ログにログの最大サイズを設定する構成ファイルの形式を示しています。

    
    
    <? xml バージョン「1.0」のエンコーディング = =「UTF-8」? >< チャネル名「アプリケーション」isolation="Application"xmlns="http://schemas.microsoft.com/win/2004/08/events =">< ログ >< 保持 > 真 </retention> <autoBackup> 真 </autoBackup> <maxSize> 9000000 </maxSize> </logging> <publishing> </publishing> </channel>
    
    

すべてのログの名前の一覧を表示します。



wevtutil el

ローカル コンピューター上のシステム ログの構成情報を、XML 形式で表示します。



wevtutil gl システム/f:xml

構成ファイルには、イベント ログの属性を設定する (構成ファイルの例についての解説を参照してください) を使用します。



wevtutil sl/c:config.xml

パブリッシャーを発生させることができます、イベントに関するメタデータを含む、Microsoft Windows イベント ログ イベントのパブリッシャーについての情報を表示します。



wevtutil gp Microsoft Windows イベント ログの/ge:true

出版社およびログからの myManifest.xml のマニフェスト ファイルをインストールします。



wevtutil im myManifest.xml

出版社およびログからの myManifest.xml のマニフェスト ファイルをアンインストールします。



wevtutil um myManifest.xml

3 つの最新のイベントがアプリケーション ログからテキスト形式で表示します。



wevtutil qe アプリケーション/c:3/rd:true/f:text

アプリケーション ログの状態を表示します。



wevtutil gli アプリケーション

C:\backup\system0506.evtx にシステム ログからイベントをエクスポートします。



wevtutil epl システム C:\backup\system0506.evtx

すべてのイベントがアプリケーション ログからは C:\admin\backups\a10306.evtx に保存した後をオフにします。



wevtutil cl アプリケーション/bu:C:\admin\backups\a10306.evtx

コミュニティの追加

追加
表示: