获取windows日志

标签：event   src   格式   install   code   domain   计算   运行   security   

关注日志路径

C:/Windows/System32/winevt/Logs/
C:/WINDOWS/system32/config

Dumpel 本地或远程导出日志

dumpel -f file [-s \\server] [-l log [-m source]] [-e n1 n2 n3..] [-r] [-t] [-d x]
-d  取最后 days 天的日志，days 为正整数
-e nn 取出事件ID nn 的日志 （nn最多指定10个，用空格隔开）
-f  输出日志的位置和文件名
-l  转储指定日志类型 (可选的为system,security,application,可能还有别的如DNS等.)
-b 转储备份文件
-m  取出指定记录名字的事件
-r 取出指定记录名字以外的时间
-s  指定包含要转储事件日志的服务器。
-t 使用制表符分割字符串 (默认是空格)
-c 使用逗号分隔字段
-ns 不输出字符串
-format  输出指定格式. 默认格式为：dtTCISucs
	where
	t - time
	d - date
	T - event type
	C - event category
	I - event ID
	S - event source
	u - user
	c - computer
	s - strings

导出本地三天内的安全日志

DUMPEL.exe -f c:\windows\temp\log3 -l security -d 3

Wevtutil

Windows server 2008及以上版本自带的事件命令程序，用于检索有关事件日志和发布者的信息，安装和卸载事件清单，运行查询以及导出、存档和清除日志。

可以使用短(如 ep /uni)或长(如
enum-publishers /unicode)形式的命令和选项名称。
命令、选项和选项值不区分大小写。

变量均使用大写形式。
wevtutil COMMAND [ARGUMENT [ARGUMENT] ...] [/OPTION:VALUE [/OPTION:VALUE] ...]

命令:
el | enum-logs 列出日志名称。
gl | get-log 获取日志配置信息。
sl | set-log 修改日志配置。
ep | enum-publishers 列出事件发布者。
gp | get-publisher 获取发布者配置信息。
im | install-manifest 从清单中安装事件发布者和日志。
um | uninstall-manifest 从清单中卸载事件发布者和日志。
qe | query-events 从日志或日志文件中查询事件。
gli | get-log-info 获取日志状态信息。
epl | export-log 导出日志。
al | archive-log 存档导出的日志。
cl | clear-log 清除日志。

常用选项:
/{r | remote}:VALUE
如果指定，则在远程计算机上运行该命令。VALUE 是远程计算机名称。
/im 和 /um 选项不支持远程操作。
/{u | username}:VALUE
指定一个不同的用户以登录到远程计算机。
VALUE 是 domain\user 或 user 形式的用户名。只有在指定 /r 选项时才适用。
/{p | password}:VALUE
指定的用户密码。如果未指定，
或者 VALUE 为 "*"，则会提示用户输入密码。
只有在指定 /u 选项时才适用。
/{a | authentication}:[Default|Negotiate|Kerberos|NTLM]
用于连接到远程计算机的身份验证类型。默认值为 Negotiate。
/{uni | unicode}:[true|false]
使用 Unicode 显示输出。如果为 true，则使用 Unicode 显示输出。

导出安全日志
wevtutil epl Security c:\logs.txt

获取windows日志

标签：event   src   格式   install   code   domain   计算   运行   security   

原文地址：https://www.cnblogs.com/Yang34/p/14127080.html