前言

當拿到windows的shell但是沒有圖形化界面時（如cs的shell、msf的shell、命令執行的shell等），需要查詢日志卻無法使用日志查看器，可以使用wevtutil工具導出日志文件。

wevtutil工具常用命令

列出所有已注冊的事件日志

C:\> wevtutil el

將System日志導出到文件C:\System_log.evtx

C:\> wevtutil epl System C:\System_log.evtx

導出遠程桌面日志到C:\rdp_log.evtx

 
           C:\> wevtutil epl Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational C:\rdp_log.evtx 
          

在應用日志中的最后100個條目中搜索ID為1704的事件

C:\> wevtutil qe Application /q:"Event/System/EventID=1704" /c:100 /f:text

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 【監控實踐】使用 wevtutil 獲取windows系統日志 Cmder命令行工具在Windows系統中的配置 10款Windows命令行工具如何讓 Windows 上的命令行工具更好用 10款Windows命令行工具 windows下的命令行工具babun Windows命令行工具cmder配置 Windows終端命令行工具Cmder Windows 下命令行增強工具 Windows Terminal _windows10全新命令行工具