关注日志路径
C:/Windows/System32/winevt/Logs/
C:/WINDOWS/system32/config
Dumpel 本地或远程导出日志
dumpel -f file [-s \server] [-l log [-m source]] [-e n1 n2 n3..] [-r] [-t] [-d x]
-d <days> 取最后 days 天的日志,days 为正整数
-e nn 取出事件ID nn 的日志 (nn最多指定10个,用空格隔开)
-f <filename> 输出日志的位置和文件名
-l <name> 转储指定日志类型 (可选的为system,security,application,可能还有别的如DNS等.)
-b 转储备份文件
-m <name> 取出指定记录名字的事件
-r 取出指定记录名字以外的时间
-s <servername> 指定包含要转储事件日志的服务器。
-t 使用制表符分割字符串 (默认是空格)
-c 使用逗号分隔字段
-ns 不输出字符串
-format <fmt> 输出指定格式. 默认格式为:dtTCISucs
where
t - time
d - date
T - event type
C - event category
I - event ID
S - event source
u - user
c - computer
s - strings
导出本地三天内的安全日志
DUMPEL.exe -f c:windows emplog3 -l security -d 3
Wevtutil
Windows server 2008及以上版本自带的事件命令程序,用于检索有关事件日志和发布者的信息,安装和卸载事件清单,运行查询以及导出、存档和清除日志。
可以使用短(如 ep /uni)或长(如
enum-publishers /unicode)形式的命令和选项名称。
命令、选项和选项值不区分大小写。
变量均使用大写形式。
wevtutil COMMAND [ARGUMENT [ARGUMENT] ...] [/OPTION:VALUE [/OPTION:VALUE] ...]
命令:
el | enum-logs 列出日志名称。
gl | get-log 获取日志配置信息。
sl | set-log 修改日志配置。
ep | enum-publishers 列出事件发布者。
gp | get-publisher 获取发布者配置信息。
im | install-manifest 从清单中安装事件发布者和日志。
um | uninstall-manifest 从清单中卸载事件发布者和日志。
qe | query-events 从日志或日志文件中查询事件。
gli | get-log-info 获取日志状态信息。
epl | export-log 导出日志。
al | archive-log 存档导出的日志。
cl | clear-log 清除日志。
常用选项:
/{r | remote}:VALUE
如果指定,则在远程计算机上运行该命令。VALUE 是远程计算机名称。
/im 和 /um 选项不支持远程操作。
/{u | username}:VALUE
指定一个不同的用户以登录到远程计算机。
VALUE 是 domainuser 或 user 形式的用户名。只有在指定 /r 选项时才适用。
/{p | password}:VALUE
指定的用户密码。如果未指定,
或者 VALUE 为 "*",则会提示用户输入密码。
只有在指定 /u 选项时才适用。
/{a | authentication}:[Default|Negotiate|Kerberos|NTLM]
用于连接到远程计算机的身份验证类型。默认值为 Negotiate。
/{uni | unicode}:[true|false]
使用 Unicode 显示输出。如果为 true,则使用 Unicode 显示输出。
导出安全日志
wevtutil epl Security c:logs.txt