WevtUtil คืออะไรและใช้งานอย่างไร?

WevtUtil.exe เป็นยูทิลิตี้บรรทัดคำสั่งในระบบปฏิบัติการ Windows ซึ่งใช้เพื่อลงทะเบียนผู้ให้บริการของคุณบนคอมพิวเตอร์เป็นหลัก เครื่องมือถูกวางไว้ใน %windir%\System32 โฟลเดอร์ คำสั่งนี้จำกัดเฉพาะสมาชิกของกลุ่มผู้ดูแลระบบ และต้องรันด้วยสิทธิ์ระดับสูง ในโพสต์นี้ เราจะพูดถึงวิธีใช้เครื่องมือ inbuilt นี้ในคอมพิวเตอร์ Windows 11 หรือ Windows 10

C System32 WevtUtil exe คืออะไร

กระบวนการที่เรียกว่า ยูทิลิตี้บรรทัดคำสั่งเหตุการณ์ของ Windows เป็นระบบปฏิบัติการ Windows โดย Microsoft wevtutil.exe ไฟล์อยู่ใน C:\Windows\System32 โฟลเดอร์ ขนาดไฟล์ใน Windows 11/10 คือ 171,008 ไบต์ WevtUtil.exe เป็นไฟล์ระบบหลักของ Windows

WevtUtil คืออะไรและใช้งานอย่างไร

WevtUtil.exe คำสั่งช่วยให้คุณสามารถดึงข้อมูลเกี่ยวกับบันทึกเหตุการณ์และผู้เผยแพร่ คุณสามารถใช้คำสั่งเพื่อรับข้อมูลเมตาดาต้าเกี่ยวกับผู้ให้บริการ เหตุการณ์ของผู้ให้บริการ และช่องทางที่จะบันทึกเหตุการณ์ และเพื่อสอบถามกิจกรรมจากช่องทางหรือไฟล์บันทึก

ผู้ใช้พีซีสามารถเรียกใช้ WevtUtil คำสั่งดังต่อไปนี้:

• ดึงข้อมูลเกี่ยวกับบันทึกเหตุการณ์และผู้เผยแพร่
• เก็บบันทึกในรูปแบบที่มีอยู่ในตัวเอง
• ระบุบันทึกที่มีอยู่
• ติดตั้งและถอนการติดตั้งรายการเหตุการณ์
• เรียกใช้การสืบค้น
• ส่งออกเหตุการณ์ (จากบันทึกเหตุการณ์ จากไฟล์บันทึก หรือใช้คิวรีที่มีโครงสร้าง) ไปยังไฟล์ที่ระบุ
• ล้างบันทึกเหตุการณ์

สำหรับข้อมูลการใช้งาน ให้ป้อน wevtutil /? ที่พรอมต์คำสั่ง

การใช้คำสั่ง WevtUtil

มาดูการใช้งานพื้นฐานบางอย่างของ WevtUtil คำสั่งบนระบบ Windows 11/10

กด แป้น Windows + R , พิมพ์ cmd และกด Enter เพื่อเปิดพรอมต์คำสั่ง หรือเปิด Windows Terminal แล้วเลือกโปรไฟล์พร้อมรับคำสั่ง ในพรอมต์ CMD ให้เรียกใช้คำสั่งด้านล่างสำหรับงานที่เกี่ยวข้อง

หมายเหตุ :ตัวเลือกส่วนใหญ่สำหรับ WevtUtil ไม่คำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่ แต่ตัวช่วยในตัวคือและต้องได้รับการร้องขอในกรณีบน ในการดึงข้อมูลบันทึกเหตุการณ์ cmdlet PowerShell Get-WinEvent ใช้งานง่ายและคล่องตัวมากขึ้น

• ระบุชื่อบันทึกทั้งหมด :

wevtutil el

• แสดงข้อมูลการกำหนดค่าเกี่ยวกับบันทึกของระบบบนคอมพิวเตอร์ในระบบในรูปแบบ XML :

wevtutil gl System /f:xml

• ใช้ไฟล์การกำหนดค่าเพื่อตั้งค่าแอตทริบิวต์บันทึกเหตุการณ์ (ดูตัวอย่างในหมายเหตุสำหรับไฟล์การกำหนดค่า) :

wevtutil sl /c:config.xml

• แสดงข้อมูลเกี่ยวกับผู้เผยแพร่เหตุการณ์ Microsoft-Windows-Eventlog รวมถึงข้อมูลเมตาเกี่ยวกับเหตุการณ์ที่ผู้เผยแพร่สามารถเพิ่มได้ :

wevtutil gp Microsoft-Windows-Eventlog /ge:true

• ติดตั้งผู้เผยแพร่และบันทึกจากไฟล์รายการ myManifest.xml :

wevtutil im myManifest.xml

• ถอนการติดตั้งผู้เผยแพร่และบันทึกจากไฟล์รายการ myManifest.xml :

wevtutil um myManifest.xml

• แสดงสามเหตุการณ์ล่าสุดจากบันทึกของแอปพลิเคชันในรูปแบบข้อความ :

wevtutil qe Application /c:3 /rd:true /f:text

• แสดงสถานะของบันทึกแอปพลิเคชัน :

wevtutil gli Application

• ส่งออกเหตุการณ์จากบันทึกของระบบไปที่ C:\backup\system0506.evtx :

wevtutil epl System C:\backup\system0506.evtx

• ล้างเหตุการณ์ทั้งหมดจากบันทึกของแอปพลิเคชันหลังจากบันทึกไปที่ C:\admin\backups\a10306.evtx :

wevtutil cl Application /bu:C:\admin\backups\a10306.evtx

• ล้างกิจกรรมทั้งหมดจากบันทึกแอปพลิเคชัน :

wevtutil clear-log Application

• แยกวิเคราะห์บันทึกเหตุการณ์ทั้งหมดที่ติดตั้งบนคอมพิวเตอร์และล้างข้อมูลทั้งหมด คุณสามารถสร้างไฟล์แบตช์ที่มีไวยากรณ์ด้านล่างและเรียกใช้ไฟล์ .bat:

@echo off
for /f "tokens=*" %%G in ('wevtutil.exe el') do (wevtutil.exe cl "%%G")

• ส่งออกกิจกรรมจากบันทึกของระบบไปที่ C:\backup\ss64.evtx :

wevtutil export-log System C:\backup\ss64.evtx

• แสดงรายการผู้เผยแพร่กิจกรรมบนคอมพิวเตอร์เครื่องปัจจุบัน :

wevtutil enum-publishers

• ถอนการติดตั้งผู้เผยแพร่และบันทึกจากไฟล์ Manifest SS64.man :

wevtutil uninstall-manifest SS64.man

• เปิดใช้งานบันทึกเหตุการณ์สำหรับ Task Scheduler :

wevtutil set-log "Microsoft-Windows-TaskScheduler/Operational" /e:true >null 2>&1

• แสดง 50 เหตุการณ์ล่าสุดจากบันทึกของแอปพลิเคชันในรูปแบบข้อความ :

wevtutil qe Application /c:50 /rd:true /f:text

• ค้นหาเหตุการณ์เริ่มต้น 20 รายการล่าสุดในบันทึกของระบบ :

wevtutil query-events System /count:20 /rd:true /format:text /q:"Event[System[(EventID=12)]]"

WevtUtil.exe คำสั่งสามารถควบคุมได้เกือบทุกด้านของ Event Viewer และ Logs ซึ่งต้องใช้พารามิเตอร์และสวิตช์จำนวนมากเพื่อควบคุมรายละเอียดเหล่านี้ เพื่อดูโครงสร้างหลักของไวยากรณ์สำหรับ WevtUtil.exe และเรียนรู้เพิ่มเติมเกี่ยวกับเครื่องมือดั้งเดิมนี้ โปรดดูเอกสารประกอบของ Microsoft

หวังว่าคุณจะพบโพสต์นี้มีข้อมูลเพียงพอ!

ฉันจะใช้บันทึกของ Windows ได้อย่างไร

ในการเข้าถึง Event Viewer ใน Windows 11, Windows 10 และ Server ให้ทำดังนี้:

• คลิกขวาที่ปุ่มเริ่ม
• เลือก แผงควบคุม> ระบบและความปลอดภัย .
• ดับเบิลคลิก เครื่องมือการดูแลระบบ .
• ดับเบิลคลิก โปรแกรมดูเหตุการณ์ .
• เลือกประเภทของบันทึกที่คุณต้องการตรวจสอบ (เช่น แอปพลิเคชัน ระบบ)

บันทึกของระบบแสดงอะไร

ในคอมพิวเตอร์ที่ใช้ Windows 11/10 บันทึกของระบบ (Syslog) มีบันทึกเหตุการณ์ของระบบปฏิบัติการ (OS) ที่ระบุวิธีการโหลดกระบวนการของระบบและไดรเวอร์ Syslog แสดงข้อมูล ข้อผิดพลาด และคำเตือนที่เกี่ยวข้องกับระบบปฏิบัติการของคอมพิวเตอร์

ฉันสามารถลบไฟล์บันทึกได้หรือไม่

โดยค่าเริ่มต้น DB จะไม่ลบไฟล์บันทึกสำหรับคุณ ด้วยเหตุผลนี้ ไฟล์บันทึกของ DB จะเติบโตขึ้นเพื่อใช้พื้นที่ดิสก์จำนวนมากโดยไม่จำเป็น เพื่อป้องกันสิ่งนี้ คุณควรดำเนินการดูแลระบบเป็นระยะเพื่อลบไฟล์บันทึกที่แอปพลิเคชันของคุณไม่ได้ใช้งานอีกต่อไป คุณสามารถลบไฟล์บันทึกระดับแอปพลิเคชันผ่าน มุมมองระบบ> คุณสมบัติของฐานข้อมูล> มุมมององค์กร . ขยายประเภทแอปพลิเคชันการวางแผนและแอปพลิเคชันที่มีล็อกไฟล์ที่คุณต้องการลบ คลิกขวาที่แอปพลิเคชัน แล้วเลือก ลบบันทึก .