wevtutil

Permite que você recupere informações sobre logs de eventos e editores. Também é possível usar esse comando para instalar e desinstalar manifestos de eventos, para executar consultas e para exportar, arquivar e limpar os logs.

Sintaxe

wevtutil [{el | enum-logs}] [{gl | get-log} <Logname> [/f:<Format>]]
[{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>]]
[{ep | enum-publishers}]
[{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] 
[{im | install-manifest} <Manifest>] [/rf:<Path>] [/mf:<Path>] [/pf:<Path>] 
[{um | uninstall-manifest} <Manifest>] [{qe | query-events} <Path> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>]]
[{gli | get-loginfo} <Logname> [/lf:<Logfile>]]
[{epl | export-log} <Path> <Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>]]
[{al | archive-log} <Logpath> [/l:<Locale>]]
[{cl | clear-log} <Logname> [/bu:<Backup>]] [/r:<Remote>] [/u:<Username>] [/p:<Password>] [/a:<Auth>] [/uni:<Unicode>]

Parâmetros

Parâmetro Descrição
{el | enum-logs} Exibe os nomes de todos os logs.
{gl | get-log} <Logname> [/f:<Format>] Exibe informações de configuração do log especificado, que inclui se o log está habilitado ou não, o limite de tamanho máximo atual do log e o caminho para o arquivo onde o log está armazenado.
{sl | set-log} <Logname> [/e:<Enabled>] [/i:<Isolation>] [/lfn:<Logpath>] [/rt:<Retention>] [/ab:<Auto>] [/ms:<MaxSize>] [/l:<Level>] [/k:<Keywords>] [/ca:<Channel>] [/c:<Config>] Modifica a configuração do log especificado.
{ep | enum-publishers} Exibe os editores de eventos no computador local.
{gp | get-publisher} <Publishername> [/ge:<Metadata>] [/gm:<Message>] [/f:<Format>]] Exibe as informações de configuração do editor de eventos especificado.
{im | install-manifest} <Manifest>
[/{rf | resourceFilePath}:value]
[/{mf | messageFilePath}:value]
[/{pf | parameterFilePath}:value]
Instala editores de eventos e logs de um manifesto. Para obter mais informações sobre manifestos de evento e uso desse parâmetro, consulte o SDK do Log de Eventos do Windows no site da MSDN (Microsoft Developers Network) https://msdn.microsoft.com. O valor é o caminho completo para o arquivo mencionado.
{um | uninstall-manifest} <Manifest> Desinstala todos os editores e logs de um manifesto. Para obter mais informações sobre manifestos de evento e uso desse parâmetro, consulte o SDK do Log de Eventos do Windows no site da MSDN (Microsoft Developers Network) https://msdn.microsoft.com.
{qe | query-events} <Caminho> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/bm:<Bookmark>] [/sbm:<Savebm>] [/rd:<Direction>] [/f:<Format>] [/l:<Locale>] [/c:<Count>] [/e:<Element>] Lê eventos de um log de eventos, de um arquivo de log ou usando uma consulta estruturada. Por padrão, você fornece um nome de log para <Path>. No entanto, se você usar a opção /lf, <Path> deverá ser um caminho para um arquivo de log. Se você usar o parâmetro /sq, <Path> deverá ser um caminho para um arquivo que contenha uma consulta estruturada.
{gli | get-loginfo} <Logname> [/lf:<Logfile>] Exibe informações de status sobre um log de eventos ou arquivo de log. Se a opção /lf for usada, <Logname> será um caminho para um arquivo de log. Você pode executar wevtutil el para obter uma lista de nomes de log.
{epl | export-log} <Path><Exportfile> [/lf:<Logfile>] [/sq:<Structquery>] [/q:<Query>] [/ow:<Overwrite>] Exporta eventos de um log de eventos, de um arquivo de log ou usando uma consulta estruturada para o arquivo especificado. Por padrão, você fornece um nome de log para <Path>. No entanto, se você usar a opção /lf, <Path> deverá ser um caminho para um arquivo de log. Se você usar a opção /sq, <Path> deverá ser um caminho para um arquivo que contenha uma consulta estruturada. <Exportfile> é um caminho para o arquivo em que os eventos exportados serão armazenados.
{al | archive-log} <Logpath> [/l:<Locale>] Arquiva o arquivo de log especificado em um formato autocontido. Um subdiretório com o nome da localidade é criado e todas as informações específicas da localidade são salvas nesse subdiretório. Depois que o diretório e o arquivo de log são criados executando wevtutil al, os eventos no arquivo podem ser lidos se o publicador estiver instalado ou não.
{cl | clear-log} <Logname> [/bu:<Backup>] Limpa os eventos do log de eventos especificado. A opção /bu pode ser usada para fazer backup dos eventos limpos.

Opções

Opção Descrição
/f:<Format> Especifica que a saída deve ser XML ou formato de texto. Se <Format> for XML, a saída será exibida no formato XML. Se <Format> for Text, a saída será exibida sem marcas XML. O padrão é Texto.
/e:<Enabled> Habilita ou desabilita um log. <Enabled> pode ser true ou false.
/i:<Isolation> Define o modo de isolamento de log. <Isolation> pode ser sistema, aplicativo ou personalizado. O modo de isolamento de um log determina se um log compartilha uma sessão com outros logs na mesma classe de isolamento. Se você especificar o isolamento do sistema, o log de destino compartilhará pelo menos permissões de gravação com o log do sistema. Se você especificar o isolamento do aplicativo, o log de destino compartilhará pelo menos permissões de gravação com o log de aplicativos. Se você especificar isolamento personalizado, também deverá fornecer um descritor de segurança usando a opção /ca.
/lfn:<Logpath> Define o nome do arquivo de log. <Logpath> é um caminho completo para o arquivo em que o serviço log de eventos armazena eventos para esse log.
/rt:<Retention> Define o modo de retenção de log. <Retention> pode ser true ou false. O modo de retenção de log determina o comportamento do serviço log de eventos quando um log atinge seu tamanho máximo. Se um log de eventos atingir seu tamanho máximo e o modo de retenção de log for true, os eventos existentes serão mantidos e os eventos de entrada serão descartados. Se o modo de retenção de log for false, os eventos de entrada substituirão os eventos mais antigos no log.
/ab:<Auto> Especifica a política de backup automático de log. <Auto> pode ser true ou false. Se esse valor for true, o backup do log será feito automaticamente quando ele atingir tamanho máximo. Se esse valor for true, a retenção (especificada com a opção /rt ) também deverá ser definida como true.
/ms:<MaxSize> Define o tamanho máximo dos bytes de logon. O tamanho mínimo do log é 1048576 bytes (1024 KB) e os arquivos de log são sempre múltiplos de 64 KB, portanto, o valor inserido será arredondado adequadamente.
/l:<Level> Define o filtro de nível do log. <Level> pode ser qualquer valor de nível válido. Essa opção só é aplicável a logs com uma sessão dedicada. Você pode remover um filtro de nível definindo <Level> como 0.
/k:<Keywords> Especifica o filtro de palavras-chave do log. <Keywords> podem ser qualquer máscara de palavra-chave válida de 64 bits. Essa opção só é aplicável a logs com uma sessão dedicada.
/ca:<Channel> Define a permissão de acesso para um log de eventos. <Channel> é um descritor de segurança que usa o SDDL (Security Descriptor Definition Language). Para obter mais informações sobre o formato SDDL, consulte o site da MSDN (Microsoft Developers Network) (https://msdn.microsoft.com).
/c:<Config> Especifica o caminho para um arquivo de configuração. Essa opção fará com que as propriedades de log sejam lidas do arquivo de configuração definido em <Config>. Se você usar essa opção, não deverá especificar um parâmetro <Logname>. O nome do log será lido do arquivo de configuração.
/ge:<Metadata> Obtém informações de metadados para eventos que podem ser gerados por este editor. <Metadata> podem ser true ou false.
/gm:<Message> Exibe a mensagem real em vez da ID da mensagem numérica. <Message> pode ser true ou false.
/lf:<Logfile> Especifica que os eventos devem ser lidos de um log ou de um arquivo de log. <Logfile> pode ser true ou false. Se true, o parâmetro para o comando é o caminho para um arquivo de log.
/sq:<Structquery> Especifica que os eventos devem ser obtidos com uma consulta estruturada. <Structquery> pode ser true ou false. Se for true, <Path> será o caminho para um arquivo que contém uma consulta estruturada.
/q:<Query> Define a consulta XPath para filtrar os eventos que são lidos ou exportados. Se essa opção não for especificada, todos os eventos serão retornados ou exportados. Essa opção não está disponível quando /sq é true.
/bm:<Bookmark> Especifica o caminho para um arquivo que contém um indicador de uma consulta anterior.
/sbm:<Savebm> Especifica o caminho para um arquivo que é usado para salvar um indicador dessa consulta. A extensão do nome do arquivo deve ser .xml.
/rd:<Direction> Especifica a direção na qual os eventos são lidos. <Direction> pode ser true ou false. Se for true, os eventos mais recentes serão retornados primeiro.
/l:<Locale> Define uma cadeia de caracteres de localidade usada para imprimir texto de evento em uma localidade específica. Disponível somente ao imprimir eventos no formato de texto usando a opção /f.
/c:<Count> Define o número máximo de eventos a serem lidos.
/e:<Element> Inclui um elemento raiz ao exibir eventos em XML. <Element> é a cadeia de caracteres que você deseja dentro do elemento raiz. Por exemplo, /e:root resultaria em XML que contém o par de elementos raiz <root>.
/ow:<Overwrite> Especifica que o arquivo de exportação deve ser substituído. <Overwrite> pode ser true ou false. Se for true e o arquivo de exportação especificado em <Exportfile> já existir, ele será substituído sem confirmação.
/bu:<Backup> Especifica o caminho para um arquivo em que os eventos desmarcados serão armazenados. Inclua a extensão .evtx no nome do arquivo de backup.
/r:<Remote> Executa o comando em um computador remoto. <Remote> é o nome do computador remoto. Os parâmetros im e um não dão suporte à operação remota.
/u:<Username> Especifica um usuário diferente para fazer logon em um computador remoto. <Username> é um nome de usuário no domínio de formulário\usuário ou usuário. Essa opção só é aplicável quando a opção /r é especificada.
/p:<Password> Especifica a senha do usuário. Se a opção /u for usada e essa opção não for especificada ou <Password> for *, o usuário será solicitado a inserir uma senha. Essa opção só é aplicável quando a opção /u é especificada.
/a:<Auth> Define o tipo de autenticação para se conectar a um computador remoto. <Auth> pode ser Default, Negotiate, Kerberos ou NTLM. O padrão é Negociar.
/uni:<Unicode> Exibe a saída no Unicode. <Unicode> pode ser true ou false. Se <Unicode> for true, a saída estará em Unicode.

Comentários

  • Usando um arquivo de configuração com o parâmetro sl

    O arquivo de configuração é um arquivo XML com o mesmo formato que a saída de wevtutil gl <Logname> /f:xml. Para mostrar o formato de um arquivo de configuração que habilita a retenção, habilita o backup automático e define o tamanho máximo do log no log de aplicativos:

    <?xml version=1.0 encoding=UTF-8?>
    <channel name=Application isolation=Application
    xmlns=https://schemas.microsoft.com/win/2004/08/events>
    <logging>
    <retention>true</retention>
    <autoBackup>true</autoBackup>
    <maxSize>9000000</maxSize>
    </logging>
    <publishing>
    </publishing>
    </channel>
    

Exemplos

Liste os nomes de todos os logs:

wevtutil el

Exiba informações de configuração sobre o log do sistema no computador local no formato XML:

wevtutil gl System /f:xml

Use um arquivo de configuração para definir atributos de log de eventos (consulte Comentários para obter um exemplo de um arquivo de configuração):

wevtutil sl /c:config.xml

Exiba informações sobre o editor de eventos Microsoft-Windows-Eventlog, incluindo metadados sobre os eventos que o editor pode gerar:

wevtutil gp Microsoft-Windows-Eventlog /ge:true

Instale editores e logs do arquivo de manifesto myManifest.xml:

wevtutil im myManifest.xml

Desinstale editores e logs do arquivo de manifesto myManifest.xml:

wevtutil um myManifest.xml

Exiba os três eventos mais recentes do log de aplicativos no formato textual:

wevtutil qe Application /c:3 /rd:true /f:text

Exiba o status do log de aplicativos:

wevtutil gli Application

Exporte eventos do log do sistema para C:\backup\system0506.evtx:

wevtutil epl System C:\backup\system0506.evtx

Limpe todos os eventos do log de aplicativos depois de salvá-los em C:\admin\backups\a10306.evtx:

wevtutil cl Application /bu:C:\admin\backups\a10306.evtx

Arquive o arquivo de log especificado (.evtx) em um formato autocontido. Um subdiretório (LocaleMetaData) é criado e todas as informações específicas da localidade são salvas nesse subdiretório:

wevtutil archive-log "C:\backup\Application.evtx" /locale:en-us