1.導出系統日志,以當前日期命名
@echo off
set nowDate=%date%
set tmp=%nowDate:~0,-3%
set file=%tmp:/=-%系統日志.evtx
echo %nowDate%>%file%
wevtutil epl system >>%file%
==================================================
2.wevtutil ::DOS日志命令
wevtutil el 查看windows所有日志分類
wevtutil epl setup C:\setup.evtx 導出setup日志
wevtutil epl system C:\system.evtx
wevtutil epl application C:\application.evtx
wevtutil epl hardwareevents C:\hardwareevents.evtx
其他參數:
el | enum-logs 列出日志名稱。
gl | get-log 獲取日志配置信息。
sl | set-log 修改日志配置。
ep | enum-publishers 列出事件發布者。
gp | get-publisher 獲取發布者配置信息。
im | install-manifest 從清單中安裝事件發布者和日志。
um | uninstall-manifest 從清單中卸載事件發布者和日志。
qe | query-events 從日志或日志文件中查詢事件。
gli | get-log-info 獲取日志狀態信息。
epl | export-log 導出日志。
al | archive-log 存檔導出的日志。
cl | clear-log 清除日志。
====================================================================
謝謝大家分享: