$put_perv_real = "/home/www/dvakompa-ru/dopol/"; ?>
Утилита wevtutil.exe, начиная с Windows 7 является стандартным компонентом системы и предназначена для получение списка имен журналов, управлением их конфигурацией, получения списка источников событий, установки или удаления издателей и журналов событий из манифеста, получения сведений о состоянии журнала, а также для очистки, архивирования и экспорта журналов системы.
Формат командной строки:
wevtutil КОМАНДА [АРГУМЕНТ [АРГУМЕНТ]...] [/ПАРАМЕТР:ЗНАЧЕНИЕ [/ПАРАМЕТР:ЗНАЧЕНИЕ]...]
Вы можете указывать имена команд и параметров как в краткой (например, "ep /uni"), так и в полной (например, "enum-publishers /unicode") форме. Команды, параметры и их значения вводятся без учета регистра. Для обозначения переменных используются прописные буквы.
Команды:
el | enum-logs gl | get-log sl | set-log ep | enum-publishers gp | get-publisher im | install-manifest um | uninstall-manifest qe | query-events gli | get-log-info epl | export-log al | archive-log cl | clear-log |
Получение списка имен журналов. Получение сведений о конфигурации журнала. Изменение конфигурации журнала. Получение списка издателей событий. Получение сведений о конфигурации издателя. Установка издателей и журналов событий из манифеста. Удаление издателей и журналов событий из манифеста. Запрос событий из журнала или файла журнала. Получение сведений о состоянии журнала. Экспорт журнала. Архивирование экспортированного журнала. Очистка журнала. |
Общие параметры:
/{r | remote}:ЗНАЧЕНИЕ - Если этот параметр задан, команда выполняется на удаленном компьютере. В качестве значения необходимо ввести имя или IP-адрес удаленного компьютера. Параметры /im и /umне поддерживают удаленные операции.
/{u | username}:ЗНАЧЕНИЕ - Выбор другого имени пользователя для входа на удаленный компьютер. В качестве значения необходимо ввести имя пользователя с указанием домена ("домен\пользователь") или без него. Используется, только если задан параметр /r.
/{p | password}:ЗНАЧЕНИЕ - Пароль для указанного пользователя. Если значение не указано или введен знак "*", пользователю будет предложено ввести пароль. Используется, только если задан параметр /u.
/{a | authentication}:[Default|Negotiate|Kerberos|NTLM] - Тип проверки подлинности для подключения к удаленному компьютеру. По умолчанию используется значение "Negotiate".
/{uni | unicode}:[true|false] - Отображение выходных данных в Юникоде. Если выбрано значение "true", выходные данные выводятся в Юникоде.
Для получения дополнительных сведений о конкретной команде введите следующий текст:
wevtutil КОМАНДА /?
wevtutil /? - отобразить подсказку по использованию.
wevtutil get-log /? - отобразить подсказку по использованию команды get-log (gl).
wevtutil el - отобразить список имен журналов. Имя или его часть, позволяющая однозначно идентифицировать журнал, должны использоваться в прочих подкомандах WEVTUTIL.
wevtutil el > %TEMP%\eventlogs.txt - то же, что и в предыдущем случае, но с выводом результатов в текстовый файл каталога временных файлов. Для чтения результатов можно открыть его, например, блокнотом:
notepad %TEMP%\eventlogs.txt
Использование вставки фрагментов данных из текстового файла упрощает работу в командной строке и уменьшает вероятность ошибки.
wevtutil el /r:Comp0 - отобразить список имен журналов удаленного компьютера Comp0. При подключении к удаленному компьютеру использовать учетную запись текущего пользователя.
wevtutil el /r:192.168.1.3 /u:user1 /p:paswd1
- отобразить список имен журналов удаленного компьютера с IP-адресом 192.168.1.3. При подключении к удаленному компьютеру использовать имя пользователя user1 и пароль paswd1
wevtutil gli System /lf:false - отобразить информацию о журнале с именем System без указания файла журнала (lf:false)
Пример отображаемой информации:
creationTime: 2017-02-10T07:22:58.552Z
lastAccessTime: 2017-02-10T07:22:58.552Z
lastWriteTime: 2017-03-07T08:39:30.870Z
fileSize: 1118208
attributes: 2080
numberOfLogRecords: 1569
oldestRecordNumber: 1
wevtutil gl System - отобразить сведения о конфигурации журнала System. Пример отображаемой информации:
name: System
enabled: true
type: Admin
owningPublisher:
isolation: System
channelAccess:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x3;;;BO)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x3;;;SU)(A;;0x1;;;S-1-5-3)(A;;0x2;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)
logging: logFileName: %SystemRoot%\System32\Winevt\Logs\System.evtx
retention: false
autoBackup: false
maxSize: 20971520
publishing:
fileMax: 1
Выводятся сведения о конфигурации журнала событий, включая его состояние (включен или выключен), текущий максимальный размер и путь к файлу, где хранится журнал.
wevtutil gl System /f:xml - то же, что и в предыдущем примере, но с отображением результатов в XML-формате.
wevtutil ep - отобразить список издателей (источников записей о событиях).
wevtutil gp System - отобразить сведения о конфигурации издателей журнала System. Пример отображаемой информации:
name: System
guid: 00000000-0000-0000-0000-000000000000
helpLink:
message:
channels:
channel:
name: System
id: 8
flags: 1
message:
levels:
opcodes:
tasks:
task:
name: Устройства
value: 1
eventGUID: 00000000-0000-0000-0000-000000000000
message: 1
task:
name: Диск
value: 2
eventGUID: 00000000-0000-0000-0000-000000000000
message: 2
task:
name: Принтеры
wevtutil gp Microsoft-Windows-Eventlog /ge:true /gm:true - вывести сведения об издателе событий Microsoft-Windows-Eventlog, включая метаданные событий, которые этот издатель может вызывать с отображением в текстовом виде.
WEVTUtil install-manifest C:\Manifest1.man - установить издателей и журналы по данным из файла манифеста. Файл должен иметь формат, описанный в пакете Windows Eventing SDK, доступном на веб-сайте MSDN
WEVTUtil uninstall-manifest C:\Manifest1.man - удалить издателей и журналы, по содержимому файла манифеста.
wevtutil qe Application /c:3 /rd:true /f:text - отобразить 3 последних события журнала приложений в текстовом формате.
WEVTUtil query-events System /count:20 /rd:true /format:text /q:"Event[System[(EventID=1)]]" - Отобразить 20 последних событий с кодом Event ID равным 1 из журнала системы в текстовом виде.
WEVTUtil export-log System C:\backup\sys-saved.evtx - сохранить содержимое журнала событий системы в файл.
WEVTUtil.exe clear-log Application - очистить журнал приложений Windows.
wevtutil.exe cl Application /bu:C:\backup\all-event.evtx - То же, что и в предыдущем примере, но перед очисткой журнала выполняется его сохранение в файл C:\backup\all-event.evtx