标题: [系统相关] 导出日志的命令wevtutil有问题,求修复 [打印本页]
作者: 1078292299 时间: 2021-2-20 07:49 标题: 导出日志的命令wevtutil有问题,求修复
网上看到了这样的命令:
快速查询特定日志:
wevtutil qe security /rd:true /f:text /q:"*[system/eventid=4624 and 4623 and 4672]"
保存特定日志:
wevtutil qe security /rd:true /f:text /q:"*[system/eventid=4624 and 4623 and 4672]">>d:\1.txt
我修改为:
wevtutil qe security /rd:true /f:text /q:"*[system/eventid=6005 and 6006]"
wevtutil qe security /rd:true /f:text /q:"*[system/eventid=6005 and 6006]">>d:\1.txt
执行后并不能得到正确的结果,并且也不能直接导出单个ID如6006的日志,不知怎么办?
作者: Batcher 时间: 2021-2-20 09:48
回复 1# 1078292299
你在什么系统里面测试的呢,XP? Win7? Win10?
有啥报错信息吗?
命令得到的结果跟你的预期有何差异呢?
作者: 1078292299 时间: 2021-2-20 18:55
回复 2# Batcher
Win10 64位:
Microsoft Windows [版本 10.0.19041.264]
执行wevtutil qe security /rd:true /f:text /q:"*[system/eventid=6005 and 6006]">>d:\1.txt 输出的结果ID全都不对。
执行wevtutil qe security /rd:true /f:text /q:"*[system/eventid=6005]">>d:\1.txt 无任何输出。
作者: Batcher 时间: 2021-2-20 22:12
回复 3# 1078292299
>>d:\1.txt
改成
>d:\1.txt
作者: 1078292299 时间: 2021-2-21 13:32
回复 4# Batcher
按你说的改了,但结果仍然不正确。
作者: xczxczxcz 时间: 2021-2-21 17:15
win10 用get-eventlog
作者: WHY 时间: 2021-2-21 21:50
wevtutil 命令的参数 /q 采用的是 XPath 查询方式,XPath 语法区分大小写。- wevtutil qe security /rd:true /f:text /q:"*[System[EventID=4624 or EventID=4672]]" > d:\1.txt
作者: 1078292299 时间: 2021-2-22 20:26
wevtutil 命令的参数 /q 采用的是 XPath 查询方式,XPath 语法区分大小写。
WHY 发表于 2021-2-21 21:50 
非常感谢,成功了。
| 欢迎光临 批处理之家 (http://www.bathome.net/) |
Powered by Discuz! 7.2 |