WevtUtil.exe là một tiện ích dòng lệnh trong hệ điều hành Windows, được sử dụng chủ yếu để đăng ký Nhà cung cấp của bạn trên máy tính. Công cụ được đặt trong % windir% System32 thư mục. Lệnh này được giới hạn cho các thành viên của nhóm Quản trị viên và phải được chạy với các đặc quyền nâng cao. Trong bài đăng này, chúng tôi thảo luận về cách sử dụng công cụ có sẵn này trong máy tính Windows 11 hoặc Windows 10.
Nội dung
C System32 WevtUtil exe là gì?
Quá trình được gọi là Windows Events Command Line Utility có nguồn gốc từ hệ điều hành Windows của Microsoft. Các wevtutil.exe tập tin nằm trong C: WindowsSystem32 thư mục. Kích thước tệp trên Windows 11/10 là 171,008 byte. WevtUtil.exe là một tệp hệ thống cốt lõi của Windows.
WevtUtil là gì và bạn sử dụng nó như thế nào?
Các WevtUtil.exe lệnh cho phép bạn truy xuất thông tin về nhật ký sự kiện và nhà xuất bản. Bạn có thể sử dụng lệnh để nhận thông tin siêu dữ liệu về nhà cung cấp, các sự kiện của nhà cung cấp và các kênh mà nó ghi lại các sự kiện và để truy vấn các sự kiện từ một kênh hoặc tệp nhật ký.
Người dùng PC có thể chạy WevtUtil lệnh cho những điều sau:
- Truy xuất thông tin về nhật ký sự kiện và nhà xuất bản.
- Lưu trữ nhật ký ở định dạng độc lập.
- Liệt kê các bản ghi có sẵn.
- Cài đặt và gỡ cài đặt tệp kê khai sự kiện.
- Chạy truy vấn.
- Xuất các sự kiện (từ nhật ký sự kiện, từ tệp nhật ký hoặc sử dụng truy vấn có cấu trúc) sang một tệp được chỉ định.
- Xóa nhật ký sự kiện.
Để biết thông tin sử dụng, hãy nhập wevtutil /? tại dấu nhắc lệnh.
Sử dụng lệnh WevtUtil
Hãy cùng xem một số cách sử dụng cơ bản của WevtUtil lệnh trên hệ thống Windows 11/10.
họp báo Windows key + Rthể loại cmd và nhấn Enter để mở Command Prompt. Ngoài ra, hãy mở Windows Terminal và chọn hồ sơ Command Prompt. Trong dấu nhắc CMD, hãy chạy các lệnh bên dưới cho (các) tác vụ tương ứng.
Ghi chú: Hầu hết các tùy chọn cho WevtUtil không phân biệt chữ hoa chữ thường, nhưng trợ giúp tích hợp sẵn và phải được yêu cầu trong trường hợp LÊN. Để truy xuất dữ liệu nhật ký sự kiện, lệnh ghép ngắn PowerShell Get-WinEvent dễ sử dụng và linh hoạt hơn.
- List the names of all logs:
wevtutil el
- Display configuration information about the System log on the local computer in XML format:
wevtutil gl System /f:xml
- Use a configuration file to set event log attributes (see Remarks for an example of a configuration file):
wevtutil sl /c:config.xml
- Display information about the Microsoft-Windows-Eventlog event publisher, including metadata about the events that the publisher can raise:
wevtutil gp Microsoft-Windows-Eventlog /ge:true
- Install publishers and logs from the myManifest.xml manifest file:
wevtutil im myManifest.xml
- Uninstall publishers and logs from the myManifest.xml manifest file:
wevtutil um myManifest.xml
- Display the three most recent events from the Application log in textual format:
wevtutil qe Application /c:3 /rd:true /f:text
- Display the status of the Application log:
wevtutil gli Application
- Export events from System log to C:backupsystem0506.evtx:
wevtutil epl System C:backupsystem0506.evtx
- Clear all of the events from the Application log after saving them to C:adminbackupsa10306.evtx:
wevtutil cl Application /bu:C:adminbackupsa10306.evtx
- Clear all the events from the Application log:
wevtutil clear-log Application
@echo off for /f "tokens=*" %%G in ('wevtutil.exe el') do (wevtutil.exe cl "%%G")
- Export events from the System log to C:backupss64.evtx:
wevtutil export-log System C:backupss64.evtx
- List the event publishers on the current computer:
wevtutil enum-publishers
- Uninstall publishers and logs from the SS64.man manifest file:
wevtutil uninstall-manifest SS64.man
- Enable event logs for the Task Scheduler:
wevtutil set-log "Microsoft-Windows-TaskScheduler/Operational" /e:true >null 2>&1
- Display the 50 most recent events from the Application log in text format:
wevtutil qe Application /c:50 /rd:true /f:text
- Find the last 20 startup events in the System log:
wevtutil query-events System /count:20 /rd:true /format:text /q:"Event[System[(EventID=12)]]"
Các WevtUtil.exe lệnh có thể kiểm soát gần như mọi khía cạnh của Trình xem sự kiện và Nhật ký, vốn yêu cầu rất nhiều tham số và công tắc để kiểm soát các chi tiết này. Để xem cấu trúc chính của cú pháp cho WevtUtil.exe và tìm hiểu thêm về công cụ gốc này, hãy xem Tài liệu của Microsoft.
Hy vọng bạn thấy bài đăng này đủ thông tin!
Làm cách nào để sử dụng nhật ký Windows?
Để truy cập Trình xem sự kiện trong Windows 11, Windows 10 và Máy chủ, hãy làm như sau:
- Nhấp chuột phải vào nút Bắt đầu.
- Lựa chọn Control Panel > System & Security.
- Nhấn đúp chuột Administrative tools.
- Nhấn đúp chuột Event Viewer.
- Chọn loại nhật ký mà bạn muốn xem lại (ví dụ: Ứng dụng, Hệ thống).
Nhật ký hệ thống hiển thị những gì?
Trong máy tính Windows 11/10, nhật ký hệ thống (Syslog) chứa bản ghi các sự kiện của hệ điều hành (OS) cho biết cách hệ thống xử lý và trình điều khiển được tải. Syslog hiển thị các sự kiện thông tin, lỗi và cảnh báo liên quan đến hệ điều hành máy tính.
Tôi có thể xóa các tệp nhật ký không?
Theo mặc định, DB không xóa các tệp nhật ký cho bạn. Vì lý do này, các tệp nhật ký của DB cuối cùng sẽ phát triển để tiêu thụ một lượng lớn không gian đĩa không cần thiết. Để đề phòng điều này, bạn nên định kỳ thực hiện hành động quản trị để xóa các tệp nhật ký không còn được ứng dụng của bạn sử dụng. Bạn có thể xóa các tệp nhật ký cấp ứng dụng qua System View > Database Properties > Enterprise View. Mở rộng loại ứng dụng Lập kế hoạch và ứng dụng có chứa tệp nhật ký bạn muốn xóa. Bấm chuột phải vào ứng dụng và chọn Delete Log.
Cảm ơn các bạn đã theo dõi TOP Thủ Thuật trên đây là những chia sẻ của chúng tôi về WevtUtil là gì và bạn sử dụng nó như thế nào?. Hy vọng bài viết tại chuyên mục Thủ Thuật Phần Mềm sẽ giúp ích được cho bạn. Trân trọng !!!