接上文 Kali渗透测试:Windows事件管理工具wevtutil的使用方法(一)https://developer.aliyun.com/article/1618591
5. 举例说明 (Examples)
1. 列出所有日志的名称
wevtutil el
2. 以 XML 格式显示本地计算机上系统日志的配置信息
wevtutil gl System /f:xml
3. 使用配置文件设置事件日志属性(请参阅备注以获取配置文件的示例)
wevtutil sl /c:config.xml
4. 显示有关 Microsoft-Windows-Eventlog 事件发布者的信息,包括有关发布者可以引发的事件的元数据
wevtutil gp Microsoft-Windows-Eventlog /ge:true
5. 从 myManifest.xml 清单文件安装发布者和日志
wevtutil im myManifest.xml
6. 从 myManifest.xml 清单文件中卸载发布者和日志
wevtutil um myManifest.xml
7. 以文本格式显示应用程序日志中的三个最新事件
wevtutil qe Application /c:3 /rd:true /f:text
备注: 如果本命令后面加上 > \filename.txt,可以输出到指定path下的filename文本文件
8. 显示应用程序日志的状态
wevtutil gli Application
9. 将系统日志中的事件导出到 C:\backup\system0506.evtx
wevtutil epl System C:\backup\system0506.evtx
10. 将应用程序日志中的所有事件保存到 D:\admin\backups\a10306.evtx 后清除它们
wevtutil cl Application /bu:C:\admin\backups\a10306.evtx
11. 以独立格式归档指定的 (.evtx) 日志文件。创建了一个子目录 (LocaleMetaData),所有特定于语言环境的信息都保存在该子目录中
wevtutil archive-log "D:\backup\system0506.evtx" /locale:en-us
