Computer >> คอมพิวเตอร์ >  >> ระบบ >> Windows

WevtUtil คืออะไรและใช้งานอย่างไร?

WevtUtil.exe เป็นยูทิลิตี้บรรทัดคำสั่งในระบบปฏิบัติการ Windows ซึ่งใช้เพื่อลงทะเบียนผู้ให้บริการของคุณบนคอมพิวเตอร์เป็นหลัก เครื่องมือถูกวางไว้ใน %windir%\System32 โฟลเดอร์ คำสั่งนี้จำกัดเฉพาะสมาชิกของกลุ่มผู้ดูแลระบบ และต้องรันด้วยสิทธิ์ระดับสูง ในโพสต์นี้ เราจะพูดถึงวิธีใช้เครื่องมือ inbuilt นี้ในคอมพิวเตอร์ Windows 11 หรือ Windows 10

WevtUtil คืออะไรและใช้งานอย่างไร?

C System32 WevtUtil exe คืออะไร

กระบวนการที่เรียกว่า ยูทิลิตี้บรรทัดคำสั่งเหตุการณ์ของ Windows เป็นระบบปฏิบัติการ Windows โดย Microsoft wevtutil.exe ไฟล์อยู่ใน C:\Windows\System32 โฟลเดอร์ ขนาดไฟล์ใน Windows 11/10 คือ 171,008 ไบต์ WevtUtil.exe เป็นไฟล์ระบบหลักของ Windows

WevtUtil คืออะไรและใช้งานอย่างไร

WevtUtil.exe คำสั่งช่วยให้คุณสามารถดึงข้อมูลเกี่ยวกับบันทึกเหตุการณ์และผู้เผยแพร่ คุณสามารถใช้คำสั่งเพื่อรับข้อมูลเมตาดาต้าเกี่ยวกับผู้ให้บริการ เหตุการณ์ของผู้ให้บริการ และช่องทางที่จะบันทึกเหตุการณ์ และเพื่อสอบถามกิจกรรมจากช่องทางหรือไฟล์บันทึก

ผู้ใช้พีซีสามารถเรียกใช้ WevtUtil คำสั่งดังต่อไปนี้:

  • ดึงข้อมูลเกี่ยวกับบันทึกเหตุการณ์และผู้เผยแพร่
  • เก็บบันทึกในรูปแบบที่มีอยู่ในตัวเอง
  • ระบุบันทึกที่มีอยู่
  • ติดตั้งและถอนการติดตั้งรายการเหตุการณ์
  • เรียกใช้การสืบค้น
  • ส่งออกเหตุการณ์ (จากบันทึกเหตุการณ์ จากไฟล์บันทึก หรือใช้คิวรีที่มีโครงสร้าง) ไปยังไฟล์ที่ระบุ
  • ล้างบันทึกเหตุการณ์

สำหรับข้อมูลการใช้งาน ให้ป้อน wevtutil /? ที่พรอมต์คำสั่ง

การใช้คำสั่ง WevtUtil

มาดูการใช้งานพื้นฐานบางอย่างของ WevtUtil คำสั่งบนระบบ Windows 11/10

กด แป้น Windows + R , พิมพ์ cmd และกด Enter เพื่อเปิดพรอมต์คำสั่ง หรือเปิด Windows Terminal แล้วเลือกโปรไฟล์พร้อมรับคำสั่ง ในพรอมต์ CMD ให้เรียกใช้คำสั่งด้านล่างสำหรับงานที่เกี่ยวข้อง

หมายเหตุ :ตัวเลือกส่วนใหญ่สำหรับ WevtUtil ไม่คำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่ แต่ตัวช่วยในตัวคือและต้องได้รับการร้องขอในกรณีบน ในการดึงข้อมูลบันทึกเหตุการณ์ cmdlet PowerShell Get-WinEvent ใช้งานง่ายและคล่องตัวมากขึ้น

  • ระบุชื่อบันทึกทั้งหมด :
wevtutil el
  • แสดงข้อมูลการกำหนดค่าเกี่ยวกับบันทึกของระบบบนคอมพิวเตอร์ในระบบในรูปแบบ XML :
wevtutil gl System /f:xml
  • ใช้ไฟล์การกำหนดค่าเพื่อตั้งค่าแอตทริบิวต์บันทึกเหตุการณ์ (ดูตัวอย่างในหมายเหตุสำหรับไฟล์การกำหนดค่า) :
wevtutil sl /c:config.xml
  • แสดงข้อมูลเกี่ยวกับผู้เผยแพร่เหตุการณ์ Microsoft-Windows-Eventlog รวมถึงข้อมูลเมตาเกี่ยวกับเหตุการณ์ที่ผู้เผยแพร่สามารถเพิ่มได้ :
wevtutil gp Microsoft-Windows-Eventlog /ge:true
  • ติดตั้งผู้เผยแพร่และบันทึกจากไฟล์รายการ myManifest.xml :
wevtutil im myManifest.xml
  • ถอนการติดตั้งผู้เผยแพร่และบันทึกจากไฟล์รายการ myManifest.xml :
wevtutil um myManifest.xml
  • แสดงสามเหตุการณ์ล่าสุดจากบันทึกของแอปพลิเคชันในรูปแบบข้อความ :
wevtutil qe Application /c:3 /rd:true /f:text
  • แสดงสถานะของบันทึกแอปพลิเคชัน :
wevtutil gli Application
  • ส่งออกเหตุการณ์จากบันทึกของระบบไปที่ C:\backup\system0506.evtx :
wevtutil epl System C:\backup\system0506.evtx
  • ล้างเหตุการณ์ทั้งหมดจากบันทึกของแอปพลิเคชันหลังจากบันทึกไปที่ C:\admin\backups\a10306.evtx :
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
  • ล้างกิจกรรมทั้งหมดจากบันทึกแอปพลิเคชัน :
wevtutil clear-log Application
  • แยกวิเคราะห์บันทึกเหตุการณ์ทั้งหมดที่ติดตั้งบนคอมพิวเตอร์และล้างข้อมูลทั้งหมด คุณสามารถสร้างไฟล์แบตช์ที่มีไวยากรณ์ด้านล่างและเรียกใช้ไฟล์ .bat:
@echo off
for /f "tokens=*" %%G in ('wevtutil.exe el') do (wevtutil.exe cl "%%G")
  • ส่งออกกิจกรรมจากบันทึกของระบบไปที่ C:\backup\ss64.evtx :
wevtutil export-log System C:\backup\ss64.evtx
  • แสดงรายการผู้เผยแพร่กิจกรรมบนคอมพิวเตอร์เครื่องปัจจุบัน :
wevtutil enum-publishers
  • ถอนการติดตั้งผู้เผยแพร่และบันทึกจากไฟล์ Manifest SS64.man :
wevtutil uninstall-manifest SS64.man
  • เปิดใช้งานบันทึกเหตุการณ์สำหรับ Task Scheduler :
wevtutil set-log "Microsoft-Windows-TaskScheduler/Operational" /e:true >null 2>&1
  • แสดง 50 เหตุการณ์ล่าสุดจากบันทึกของแอปพลิเคชันในรูปแบบข้อความ :
wevtutil qe Application /c:50 /rd:true /f:text
  • ค้นหาเหตุการณ์เริ่มต้น 20 รายการล่าสุดในบันทึกของระบบ :
wevtutil query-events System /count:20 /rd:true /format:text /q:"Event[System[(EventID=12)]]"

WevtUtil.exe คำสั่งสามารถควบคุมได้เกือบทุกด้านของ Event Viewer และ Logs ซึ่งต้องใช้พารามิเตอร์และสวิตช์จำนวนมากเพื่อควบคุมรายละเอียดเหล่านี้ เพื่อดูโครงสร้างหลักของไวยากรณ์สำหรับ WevtUtil.exe และเรียนรู้เพิ่มเติมเกี่ยวกับเครื่องมือดั้งเดิมนี้ โปรดดูเอกสารประกอบของ Microsoft

หวังว่าคุณจะพบโพสต์นี้มีข้อมูลเพียงพอ!

ฉันจะใช้บันทึกของ Windows ได้อย่างไร

ในการเข้าถึง Event Viewer ใน Windows 11, Windows 10 และ Server ให้ทำดังนี้:

  • คลิกขวาที่ปุ่มเริ่ม
  • เลือก แผงควบคุม> ระบบและความปลอดภัย .
  • ดับเบิลคลิก เครื่องมือการดูแลระบบ .
  • ดับเบิลคลิก โปรแกรมดูเหตุการณ์ .
  • เลือกประเภทของบันทึกที่คุณต้องการตรวจสอบ (เช่น แอปพลิเคชัน ระบบ)

บันทึกของระบบแสดงอะไร

ในคอมพิวเตอร์ที่ใช้ Windows 11/10 บันทึกของระบบ (Syslog) มีบันทึกเหตุการณ์ของระบบปฏิบัติการ (OS) ที่ระบุวิธีการโหลดกระบวนการของระบบและไดรเวอร์ Syslog แสดงข้อมูล ข้อผิดพลาด และคำเตือนที่เกี่ยวข้องกับระบบปฏิบัติการของคอมพิวเตอร์

ฉันสามารถลบไฟล์บันทึกได้หรือไม่

โดยค่าเริ่มต้น DB จะไม่ลบไฟล์บันทึกสำหรับคุณ ด้วยเหตุผลนี้ ไฟล์บันทึกของ DB จะเติบโตขึ้นเพื่อใช้พื้นที่ดิสก์จำนวนมากโดยไม่จำเป็น เพื่อป้องกันสิ่งนี้ คุณควรดำเนินการดูแลระบบเป็นระยะเพื่อลบไฟล์บันทึกที่แอปพลิเคชันของคุณไม่ได้ใช้งานอีกต่อไป คุณสามารถลบไฟล์บันทึกระดับแอปพลิเคชันผ่าน มุมมองระบบ> คุณสมบัติของฐานข้อมูล> มุมมององค์กร . ขยายประเภทแอปพลิเคชันการวางแผนและแอปพลิเคชันที่มีล็อกไฟล์ที่คุณต้องการลบ คลิกขวาที่แอปพลิเคชัน แล้วเลือก ลบบันทึก .

WevtUtil คืออะไรและใช้งานอย่างไร?