Este artigo foi traduzido por máquina. Para visualizar o arquivo em inglês, marque a caixa de seleção Inglês. Você também pode exibir o texto Em inglês em uma janela pop-up, movendo o ponteiro do mouse sobre o texto.
Tradução
Inglês

Wevtutil

Permite que você recupere informações sobre logs de eventos e editores. Você também pode usar este comando para instalar e desinstalar manifestos de evento para executar consultas e exportar, arquivar e limpar logs. Para obter exemplos de como usar esse comando, consulte exemplos.

Sintaxe



wevtutil [{el | enum logs}] [{gl | get log} <Logname>[/ f: <Format>]][{sl | conjunto log} <Logname>[/ e: <Enabled>] [/ i: <Isolation>] [/ lfn: <Logpath>] [/ rt: <Retention>] [/ ab: <Auto>] [/ ms: <Size>] [/ l: <Level>] [/ k: <Keywords>] [/ ca: <Channel>] [/ c: <Config>]] [{ep | enum editores}] [{gp | get publisher} <Publishername>[/ ge: <Metadata>] [/ gm: <Message>] [/ f: <Format>]] [{im | manifesto de instalação} <Manifest>] [{um | manifesto desinstalar} <Manifest>] [{qe | consulta eventos} <Path>[/ lf: <Logfile>] [/ sq: <Structquery>] [/ p: <Query>] [/ bm: <Bookmark>] [/ sbm: <Savebm>] [/ rd: <Direction>] [/ f: <Format>] [/ l: <Locale>] [/ c: <Count>] [/ e: <Element>]] [{gli | get-loginfo} <Logname>[/ lf: <Logfile>]] [{epl | Exportar log} <Path><Exportfile>[/ lf: <Logfile>] [/ sq: <Structquery>] [/ p: <Query>] [/ omo: <Overwrite>]] [{al | arquivar registro} <Logpath>[/ l: <Locale>]] [{cl | limpar log} <Logname>[/ bu: <Backup>]] [/ r: <Remote>] [/ u: <Username>] [/ p: <Password>] [/ r: <Auth>] [/ uni: <Unicode>]

Parâmetros

Parâmetro Descrição

{el | enum logs}

Exibe os nomes de todos os logs.

{gl | get log} <Logname>[/ f: <Format>]

Exibe informações de configuração de log especificado, o que inclui se o log está habilitado ou não, o atual limite de tamanho máximo do log e o caminho para o arquivo onde o log é armazenado.

{sl | conjunto log} <Logname>[/ e: <Enabled>] [/ i: <Isolation>] [/ lfn: <Logpath>] [/ rt: <Retention>] [/ ab: <Auto>] [/ ms: <Size>] [/ l: <Level>] [/ k: <Keywords>] [/ ca: <Channel>] [/ c: <Config>]

Modifica a configuração de log especificado.

{ep | enum editores}

Exibe os editores de eventos no computador local.

{gp | get publisher} <Publishername>[/ ge: <Metadata>] [/ gm: <Message>] [/ f: <Format>]]

Exibe as informações de configuração para o Editor de evento especificado.

{im | manifesto de instalação} <Manifest>

Instala os editores de eventos e logs de um manifesto. Para obter mais informações sobre manifestos de evento e usar esse parâmetro, consulte o Log de eventos do Windows SDK no site da Microsoft Developers Network (MSDN) (http://msdn.microsoft.com).

{um | manifesto desinstalar} <Manifest>

Desinstala todos os editores e logs do manifesto. Para obter mais informações sobre manifestos de evento e usar esse parâmetro, consulte o Log de eventos do Windows SDK no site da Microsoft Developers Network (MSDN) (http://msdn.microsoft.com).

{qe | consulta eventos} <Path>[/ lf: <Logfile>] [/ sq: <Structquery>] [/ p: <Query>] [/ bm: <Bookmark>] [/ sbm: <Savebm>] [/ rd: <Direction>] [/ f: <Format>] [/ l: <Locale>] [/ c: <Count>] [/ e: <Element>]

Lê os eventos de um log de eventos de um arquivo de log ou usando uma consulta estruturada. Por padrão, você deve fornecer um nome de log <Path>. No entanto, se você usar a opção de /lf , em seguida, <Path>deve ser um caminho para um arquivo de log. Se você usar o parâmetro /sq , <Path>deve ser um caminho para um arquivo que contém uma consulta estruturada.

{gli | get-loginfo} <Logname>[/ lf: <Logfile>]

Exibe informações de status sobre um arquivo de log ou um log de eventos. Se for usada a opção /lf , <Logname>é um caminho para um arquivo de log. Você pode executar el wevtutil para obter uma lista de nomes de log.

{epl | Exportar log} <Path><Exportfile>[/ lf: <Logfile>] [/ sq: <Structquery>] [/ p: <Query>] [/ omo: <Overwrite>]

Exporta eventos de um log de eventos de um arquivo de log ou usando uma consulta estruturada para o arquivo especificado. Por padrão, você deve fornecer um nome de log <Path>. No entanto, se você usar a opção de /lf , em seguida, <Path>deve ser um caminho para um arquivo de log. Se você usar a opção /sq , <Path>deve ser um caminho para um arquivo que contém uma consulta estruturada. <Exportfile>é um caminho para o arquivo onde serão armazenados os eventos exportados.

{al | arquivar registro} <Logpath>[/ l: <Locale>]

O arquivo de log especificado em um formato autônomo de arquivos. É criado um subdiretório com o nome da localidade e todas as informações específicas de localidade é salvo nesse subdiretório. Após o arquivo de log e diretório são criadas executando wevtutil al, eventos no arquivo podem ser lido se o publisher está instalado ou não.

{cl | limpar log} <Logname>[/ bu: <Backup>]

Limpa eventos do log de eventos especificado. A opção /bu pode ser usada para fazer backup de eventos limpas.

Opções

Opção Descrição

/f: <Format>

Especifica que a saída deve ser o formato de texto ou XML. Se <Format>XML, a saída é exibida no formato XML. Se <Format>é o texto, a saída é exibida sem marcas XML. O padrão é texto.

/e: <Enabled>

Habilita ou desabilita um log. <Enabled>pode ser true ou false.

/i: <Isolation>

Define o modo de isolamento do log. <Isolation>pode ser o sistema, aplicativo ou personalizado. O modo de isolamento de um log determina se um log compartilha uma sessão com outros logs na mesma classe de isolamento. Se você especificar o isolamento do sistema, log de destino irá compartilhar pelo menos permissões de log do sistema de gravação. Se você especificar o isolamento do aplicativo, o log de destino irá compartilhar pelo menos permissões de log do aplicativo de gravação. Se você especificar isolamento personalizado, você também deve fornecer um descritor de segurança usando a opção /ca .

/LFN: <Logpath>

Define o nome do arquivo de log. <Logpath>é um caminho completo para o arquivo onde o serviço de Log de eventos armazena eventos deste log.

/RT: <Retention>

Define o modo de retenção de log. <Retention>pode ser true ou false. O modo de retenção de log determina o comportamento do serviço Log de eventos quando um log alcança seu tamanho máximo. Se um log de eventos atingir seu tamanho máximo e o modo de retenção do log for true, eventos existentes são mantidos e os eventos de entrada são descartados. Se o modo de retenção do log for false, os eventos de entrada substituir eventos mais antigos no log.

/AB: <Auto>

Especifica a diretiva de backup automático do log. <Auto>pode ser true ou false. Se esse valor for true, o log será feito backup automaticamente quando atinge o tamanho máximo. Se esse valor for true, a retenção (especificada com a opção /rt ) também deve ser definida como true.

/ ms: <Size>

Define o tamanho máximo do log em bytes. O tamanho mínimo do log é 1048576 bytes (1024 KB) e arquivos de log são sempre múltiplos de 64 KB, portanto, o valor inserido será arredondado adequadamente.

/l: <Level>

Define o filtro de nível de log. <Level>pode ser qualquer valor de nível válido. Esta opção só é aplicável aos logs de uma sessão dedicada. Você pode remover um filtro de nível definindo <Level>para 0.

/k: <Keywords>

Especifica o filtro de palavras-chave do registro. <Keywords>pode ser qualquer máscara de palavra-chave de 64 bits válido. Esta opção só é aplicável aos logs de uma sessão dedicada.

/CA: <Channel>

Define a permissão de acesso para um log de eventos. <Channel>é um descritor de segurança que utiliza a definição de linguagem SDDL (Security Descriptor). Para obter mais informações sobre o formato SDDL, consulte o site Microsoft Developers Network (MSDN) (http://msdn.microsoft.com).

/c: <Config>

Especifica o caminho para um arquivo de configuração. Esta opção fará com que as propriedades de log ser lido do arquivo de configuração definido em <Config>. Se você usar essa opção, você não deve especificar <Logname>parâmetro. O nome do log será lido do arquivo de configuração.

/GE: <Metadata>

Obtém informações de metadados para eventos que podem ser disparados por esse editor. <Metadata>pode ser true ou false.

/GM: <Message>

Exibe a mensagem real em vez da identificação numérica de mensagem. <Message>pode ser true ou false.

/LF: <Logfile>

Especifica que os eventos devem ser lidos a partir de um log ou um arquivo de log. <Logfile>pode ser true ou false. Se for true, o parâmetro do comando é o caminho para um arquivo de log.

/ sq: <Structquery>

Especifica que os eventos devem ser obtidos com uma consulta estruturada. <Structquery>pode ser true ou false. Se verdadeiro, <Path>é o caminho para um arquivo que contém uma consulta estruturada.

/q: <Query>

Define a consulta XPath para filtrar os eventos que são lidos ou exportados. Se essa opção não for especificada, todos os eventos serão retornados ou exportados. Esta opção não está disponível quando /sq é verdadeiro.

/BM: <Bookmark>

Especifica o caminho para um arquivo que contém um indicador de uma consulta anterior.

/SBM: <Savebm>

Especifica o caminho para um arquivo que é usado para salvar um indicador desta consulta. A extensão de nome de arquivo deve ser. XML.

/RD: <Direction>

Especifica a direção na qual os eventos são lidos. <Direction>pode ser true ou false. Se verdadeiro, os eventos mais recentes são retornados primeiro.

/l: <Locale>

Define uma seqüência de caracteres de localidade é usada para imprimir texto de evento em um local específico. Disponível somente quando imprimir eventos no formato de texto usando a opção /f .

/c: <Count>

Define o número máximo de eventos de leitura.

/e: <Element>

Inclui um elemento raiz ao exibir eventos em XML. <Element>é a seqüência de dentro do elemento raiz. Por exemplo, /e:root resultaria em XML que contém o par de elemento raiz <root> </root>.

/ omo: <Overwrite>

Especifica que o arquivo de exportação deve ser substituído. <Overwrite>pode ser true ou false. Se true e o arquivo de exportação especificado em <Exportfile>já existir, ele será substituído sem confirmação.

/BU: <Backup>

Especifica o caminho para um arquivo onde serão armazenados os eventos desmarcados. Inclua a extensão. evtx o nome do arquivo de backup.

/r: <Remote>

Executa o comando em um computador remoto. <Remote>é o nome do computador remoto. Os parâmetros de im e um não suportam a operação remota.

/u: <Username>

Especifica um usuário diferente para fazer logon um computador remoto. <Username>é um nome de usuário no formato domínio \ usuário ou usuário. Esta opção só é aplicável quando a opção /r for especificada.

/p: <Password>

Especifica a senha do usuário. Se a opção /u for usada e essa opção não for especificada ou <Password>é "*", o usuário será solicitado a digitar uma senha. Esta opção só é aplicável quando a opção /u é especificada.

/a: <Auth>

Define o tipo de autenticação para se conectar a um computador remoto. <Auth>pode ser padrão, Negotiate, Kerberos ou NTLM. O padrão é negociar.

/uni: <Unicode>

Exibe a saída em Unicode. <Unicode>pode ser true ou false. Se <Unicode>é verdade, a saída será em Unicode.

Comentários

  • Usando um arquivo de configuração com o parâmetro sl

    O arquivo de configuração é um arquivo XML com o mesmo formato de saída de wevtutil gl <Logname>/f:XML. O exemplo a seguir mostra o formato de um arquivo de configuração que permite a retenção, permite a autobackup e define o tamanho máximo do log no log do aplicativo:

    
    
    <? xml versão = "1.0" encoding = "UTF-8"? >< nome do canal = "Aplicativo" isolation="Application"xmlns="http://schemas.microsoft.com/win/2004/08/events" >< log >< retenção > Verdadeiro </retention> Verdadeiro <autoBackup> </autoBackup> <maxSize> 9000000 </maxSize> </logging> <publishing> </publishing> </channel>
    
    

Exemplos

Lista os nomes de todos os logs:



wevtutil el

Exibir informações de configuração sobre o log do sistema no computador local no formato XML:



wevtutil gl /f:xml do sistema

Use um arquivo de configuração para definir atributos do log de eventos (consulte os comentários para um exemplo de um arquivo de configuração):



wevtutil sl /c:config.xml

Exibir informações sobre o Editor de eventos Microsoft-Windows-log de eventos, incluindo metadados sobre os eventos que o publisher pode elevar:



wevtutil gp Microsoft-Windows-log de eventos /ge:true

Instale editores e logs do arquivo de manifesto myManifest.xml:



wevtutil im myManifest.xml

Desinstale editores e logs do arquivo de manifesto do myManifest.xml:



wevtutil um myManifest.xml

Exiba os últimos três eventos do log de aplicativo no formato textual:



wevtutil qe aplicativo /c:3 /rd:true /f:text

Exiba o status do log do aplicativo:



wevtutil gli aplicativo

Exporte eventos do log de sistema para C:\backup\system0506.evtx:



wevtutil epl sistema C:\backup\system0506.evtx

Limpe todos os eventos do log de aplicativo após salvá-las para C:\admin\backups\a10306.evtx:



wevtutil cl aplicativo /bu:C:\admin\backups\a10306.evtx

Referências adicionais

Contribuições da comunidade

ADICIONAR
Mostrar: