wevtutil to narzędzie w systemie Windows, które służy do zarządzania dziennikami zdarzeń. Umożliwia użytkownikom przeglądanie, eksportowanie, importowanie oraz usuwanie zdarzeń z dzienników systemowych. Dzięki wevtutil administratorzy mogą łatwo analizować i monitorować działanie systemu oraz aplikacji, co jest kluczowe w procesie diagnozowania problemów i zapewniania bezpieczeństwa.
wevtutil [komenda] [parametry]
| Parametr | Opis |
|---|---|
| slp | Przeglądanie dzienników zdarzeń (Event Logs). |
| export-log | Eksportuje dziennik zdarzeń do pliku w formacie .evtx. |
| import-log | Importuje dziennik zdarzeń z pliku .evtx. |
| clear-log | Usuwa zdarzenia z określonego dziennika. |
| get-log | Pobiera informacje o dzienniku zdarzeń. |
| query | Wykonuje zapytanie do dziennika zdarzeń i zwraca wyniki. |
wevtutil slp
Ten przykład używa komendy „slp” do przeglądania dostępnych dzienników zdarzeń w systemie. Użytkownik uzyska listę wszystkich dzienników, które są obecnie dostępne, co pozwala na łatwe zidentyfikowanie interesujących obszarów do dalszej analizy.
wevtutil export-log Application C:\logs\application.evtx
W tym przykładzie używamy komendy „export-log”, aby wyeksportować dziennik zdarzeń „Application” do pliku o nazwie „application.evtx”, który zostanie zapisany na dysku C w katalogu „logs”. To pozwala na archiwizację zdarzeń lub ich analizę przy użyciu narzędzi zewnętrznych.
wevtutil clear-log System
Przykład ten używa komendy „clear-log” do usunięcia wszystkich zdarzeń z dziennika „System”. To może być przydatne w celu zwolnienia miejsca na dysku lub zresetowania dziennika po zakończeniu analizy.
wevtutil query "*[System[(EventID=7036)]]"
W tym przykładzie komenda „query” jest używana do wyszukiwania zdarzeń o identyfikatorze 7036 w dzienniku. To pozwala na szybkie filtrowanie istotnych zdarzeń, co ułatwia diagnozowanie problemów z usługami systemowymi.