關注日志路徑
C:/Windows/System32/winevt/Logs/
C:/WINDOWS/system32/config
Dumpel 本地或遠程導出日志
dumpel -f file [-s \\server] [-l log [-m source]] [-e n1 n2 n3..] [-r] [-t] [-d x]
-d <days> 取最后 days 天的日志,days 為正整數
-e nn 取出事件ID nn 的日志 (nn最多指定10個,用空格隔開)
-f <filename> 輸出日志的位置和文件名
-l <name> 轉儲指定日志類型 (可選的為system,security,application,可能還有別的如DNS等.)
-b 轉儲備份文件
-m <name> 取出指定記錄名字的事件
-r 取出指定記錄名字以外的時間
-s <servername> 指定包含要轉儲事件日志的服務器。
-t 使用制表符分割字符串 (默認是空格)
-c 使用逗號分隔字段
-ns 不輸出字符串
-format <fmt> 輸出指定格式. 默認格式為:dtTCISucs
where
t - time
d - date
T - event type
C - event category
I - event ID
S - event source
u - user
c - computer
s - strings
導出本地三天內的安全日志
DUMPEL.exe -f c:\windows\temp\log3 -l security -d 3
Wevtutil
Windows server 2008及以上版本自帶的事件命令程序,用於檢索有關事件日志和發布者的信息,安裝和卸載事件清單,運行查詢以及導出、存檔和清除日志。
可以使用短(如 ep /uni)或長(如
enum-publishers /unicode)形式的命令和選項名稱。
命令、選項和選項值不區分大小寫。
變量均使用大寫形式。
wevtutil COMMAND [ARGUMENT [ARGUMENT] ...] [/OPTION:VALUE [/OPTION:VALUE] ...]
命令:
el | enum-logs 列出日志名稱。
gl | get-log 獲取日志配置信息。
sl | set-log 修改日志配置。
ep | enum-publishers 列出事件發布者。
gp | get-publisher 獲取發布者配置信息。
im | install-manifest 從清單中安裝事件發布者和日志。
um | uninstall-manifest 從清單中卸載事件發布者和日志。
qe | query-events 從日志或日志文件中查詢事件。
gli | get-log-info 獲取日志狀態信息。
epl | export-log 導出日志。
al | archive-log 存檔導出的日志。
cl | clear-log 清除日志。
常用選項:
/{r | remote}:VALUE
如果指定,則在遠程計算機上運行該命令。VALUE 是遠程計算機名稱。
/im 和 /um 選項不支持遠程操作。
/{u | username}:VALUE
指定一個不同的用戶以登錄到遠程計算機。
VALUE 是 domain\user 或 user 形式的用戶名。只有在指定 /r 選項時才適用。
/{p | password}:VALUE
指定的用戶密碼。如果未指定,
或者 VALUE 為 "*",則會提示用戶輸入密碼。
只有在指定 /u 選項時才適用。
/{a | authentication}:[Default|Negotiate|Kerberos|NTLM]
用於連接到遠程計算機的身份驗證類型。默認值為 Negotiate。
/{uni | unicode}:[true|false]
使用 Unicode 顯示輸出。如果為 true,則使用 Unicode 顯示輸出。
導出安全日志
wevtutil epl Security c:\logs.txt
