WevtUtil.exe ist ein Befehlszeilendienstprogramm im Windows-Betriebssystem, das hauptsächlich zum Registrieren Ihres Anbieters auf dem Computer verwendet wird. Das Werkzeug wird eingelegt %windir%\System32 Mappe. Dieser Befehl ist auf Mitglieder der Administratorgruppe beschränkt und muss mit erhöhten Rechten ausgeführt werden. In diesem Beitrag besprechen wir, wie Sie dieses integrierte Tool auf Windows 11- oder Windows 10-Computern verwenden.
Was ist C System32 WevtUtil exe?
Der Prozess, bekannt als Befehlszeilendienstprogramm für Windows-Ereignisse ist nativ für das Windows-Betriebssystem von Microsoft. Das wevtutil.exe Datei befindet sich im C:\Windows\System32 Mappe. Die Dateigröße unter Windows 11/10 beträgt 171.008 Bytes. Die WevtUtil.exe ist eine Windows-Kernsystemdatei.
Was ist WevtUtil und wie verwenden Sie es?
Das WevtUtil.exe Mit dem Befehl können Sie Informationen zu Ereignisprotokollen und Herausgebern abrufen. Sie können den Befehl verwenden, um Metadateninformationen über den Anbieter, seine Ereignisse und die Kanäle, in denen er Ereignisse protokolliert, abzurufen und Ereignisse aus einem Kanal oder einer Protokolldatei abzufragen.
PC-Benutzer können die ausführen WevtUtil Befehl für Folgendes:
- Rufen Sie Informationen zu Ereignisprotokollen und Herausgebern ab.
- Protokolle in einem eigenständigen Format archivieren.
- Zählen Sie die verfügbaren Protokolle auf.
- Ereignismanifeste installieren und deinstallieren.
- Abfragen ausführen.
- Exportiert Ereignisse (aus einem Ereignisprotokoll, aus einer Protokolldatei oder mithilfe einer strukturierten Abfrage) in eine angegebene Datei.
- Ereignisprotokolle löschen.
Geben Sie für Nutzungsinformationen ein wevtutil /?
an einer Eingabeaufforderung.
Verwenden des WevtUtil-Befehls
Werfen wir einen Blick auf einige grundlegende Verwendungen von WevtUtil Befehl auf Windows 11/10-System.
Drücken Sie Windows-Taste + RTyp cmd und drücken Sie die Eingabetaste, um die Eingabeaufforderung zu öffnen. Öffnen Sie alternativ Windows Terminal und wählen Sie das Eingabeaufforderungsprofil. Führen Sie in der CMD-Eingabeaufforderung die folgenden Befehle für die entsprechende(n) Aufgabe(n) aus.
Notiz: Die meisten Optionen für WevtUtil unterscheiden nicht zwischen Groß- und Kleinschreibung, aber die eingebaute Hilfe ist und muss in GROSSBUCHSTABEN angefordert werden. Um Ereignisprotokolldaten abzurufen, muss das PowerShell-Cmdlet Get-WinEvent ist einfacher zu bedienen und flexibler.
- Listen Sie die Namen aller Protokolle auf:
wevtutil el
- Zeigt Konfigurationsinformationen zum Systemprotokoll auf dem lokalen Computer im XML-Format an:
wevtutil gl System /f:xml
- Verwenden Sie eine Konfigurationsdatei, um Ereignisprotokollattribute festzulegen (siehe Anmerkungen für ein Beispiel einer Konfigurationsdatei).:
wevtutil sl /c:config.xml
- Zeigt Informationen zum Microsoft-Windows-Eventlog-Ereignisherausgeber an, einschließlich Metadaten zu den Ereignissen, die der Herausgeber auslösen kann:
wevtutil gp Microsoft-Windows-Eventlog /ge:true
- Installieren Sie Herausgeber und Protokolle aus der Manifestdatei myManifest.xml:
wevtutil im myManifest.xml
- Deinstallieren Sie Herausgeber und Protokolle aus der Manifestdatei myManifest.xml:
wevtutil um myManifest.xml
- Zeigt die drei letzten Ereignisse aus dem Anwendungsprotokoll im Textformat an:
wevtutil qe Application /c:3 /rd:true /f:text
- Zeigen Sie den Status des Anwendungsprotokolls an:
wevtutil gli Application
- Exportieren Sie Ereignisse aus dem Systemprotokoll nach C:\backup\system0506.evtx:
wevtutil epl System C:\backup\system0506.evtx
- Löschen Sie alle Ereignisse aus dem Anwendungsprotokoll, nachdem Sie sie unter C:\admin\backups\a10306.evtx gespeichert haben:
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
- Löschen Sie alle Ereignisse aus dem Anwendungsprotokoll:
wevtutil clear-log Application
@echo off for /f "tokens=*" %%G in ('wevtutil.exe el') do (wevtutil.exe cl "%%G")
- Exportieren Sie Ereignisse aus der System Melden Sie sich in C:\backup\ss64.evtx an:
wevtutil export-log System C:\backup\ss64.evtx
- Listen Sie die Ereignisherausgeber auf dem aktuellen Computer auf:
wevtutil enum-publishers
- Deinstallieren Sie Herausgeber und Protokolle aus der SS64.man-Manifestdatei:
wevtutil uninstall-manifest SS64.man
- Aktivieren Sie Ereignisprotokolle für den Taskplaner:
wevtutil set-log "Microsoft-Windows-TaskScheduler/Operational" /e:true >null 2>&1
- Zeigt die 50 neuesten Ereignisse aus dem Anwendungsprotokoll im Textformat an:
wevtutil qe Application /c:50 /rd:true /f:text
- Suchen Sie die letzten 20 Startereignisse im Systemprotokoll:
wevtutil query-events System /count:20 /rd:true /format:text /q:"Event[System[(EventID=12)]]"
Das WevtUtil.exe Der Befehl kann fast jeden Aspekt der Ereignisanzeige und der Protokolle steuern, was viele Parameter und Schalter erfordert, um diese Details zu steuern. Um die Hauptstruktur der Syntax für zu sehen WevtUtil.exe und erfahren Sie mehr über dieses native Tool, sehen Sie sich die an Microsoft-Dokumentation.
Ich hoffe, Sie finden diesen Beitrag informativ genug!
Wie verwende ich Windows-Protokolle?
Um auf die Ereignisanzeige in Windows 11, Windows 10 und Server zuzugreifen, gehen Sie wie folgt vor:
- Klicken Sie mit der rechten Maustaste auf die Schaltfläche Start.
- Auswählen Schalttafel > Systemsicherheit.
- Doppelklick Verwaltungswerkzeuge.
- Doppelklick Ereignisanzeige.
- Wählen Sie den Protokolltyp aus, den Sie überprüfen möchten (z. B. Anwendung, System).
Was zeigen Systemprotokolle?
Auf Windows 11/10-Computern enthält das Systemprotokoll (Syslog) eine Aufzeichnung der Ereignisse des Betriebssystems (OS), die angibt, wie die Systemprozesse und Treiber geladen wurden. Das Syslog zeigt Informations-, Fehler- und Warnereignisse im Zusammenhang mit dem Betriebssystem des Computers.
Kann ich Protokolldateien löschen?
Standardmäßig löscht DB keine Protokolldateien für Sie. Aus diesem Grund werden die Protokolldateien von DB irgendwann anwachsen und unnötig viel Speicherplatz verbrauchen. Um sich dagegen zu schützen, sollten Sie regelmäßig administrative Maßnahmen ergreifen, um Protokolldateien zu entfernen, die von Ihrer Anwendung nicht mehr verwendet werden. Sie können Protokolldateien auf Anwendungsebene über löschen Systemansicht > Datenbankeigenschaften > Unternehmensansicht. Erweitern Sie den Planning-Anwendungstyp und die Anwendung, die die zu löschenden Protokolldateien enthält. Klicken Sie mit der rechten Maustaste auf die Anwendung und wählen Sie sie aus Protokoll löschen.